Des chercheurs ont prouvé que des appareils tels que Google Home, Facebook Portal ainsi que des produits propulsés par Siri et Alexa sont vulnérables à des attaques au laser. Une faille des microphones permet en effet à la lumière émise de se faire passer pour des commandes vocales.

Pirater un assistant intelligent avec un petit rayon laser, c’est possible. Du moins, il s’agit de la conclusion d’une étude conjointement menée par des chercheurs de l’université d’électro-communication de Tokyo et de l’université du Michigan. Ces derniers ont mené leurs tests sur des appareils propulsés par Google Assistant, Siri et Amazon Alexa. Le stratagème fonctionne d’ailleurs sur Facebook Portal.

Le principe est assez simple : pointer un rayon laser à faible consommation sur une enceinte connectée Google Home, par exemple, peut permettre d’injecter de fausses commandes que l’assistant va exécuter comme s’il s’agissait de requêtes vocalement adressées.

Lien YouTube S’abonner à FrAndroid

Concrètement, les microphones embarqués par les appareils visés s’appuient sur de minuscules composants appelés microsystème électromécanique dont la faille est de parfois interpréter de la lumière comme du son. Les chercheurs estiment ainsi que tous les micros exploitant ces semi-conducteurs peuvent être exposés à ces attaques au laser.

Des contraintes importantes

Ce type d’attaque est cependant soumis à une contrainte importante : le pirate doit avoir une ligne de vision directe sur le produit qu’il attaque. Aussi, la lumière émise par le laser est facilement détectable. Certes, le hacker peut utiliser un rayon infrarouge, mais comme il a besoin de viser une partie très spécifique du micro sur l’enceinte connectée, il a besoin d’un pointeur.

Malgré cela, les chercheurs mettent en avant la dangerosité de ce procédé.

Nous montrons comment un pirate peut utiliser des commandes vocales injectées par une lumière afin de déverrouiller la porte d’entrée protégée par une serrure connectée, ouvrir les portes de garage, faire des achats sur des sites d’e-commerce aux frais de la cible ou même localiser, déverrouiller et démarrer divers véhicules (par exemple Tesla et Ford) si les véhicules sont connectés au compte Google de la cible.

D’ailleurs, dans la vidéo ci-dessous, on voit une commande au laser ouvrir une porte de garage via Google Home.

Lien YouTube S’abonner à FrAndroid

En utilisant un téléobjectif photo, les chercheurs ont pu augmenter la portée du laser à un peu plus de 109 mètres. Ils laissent cependant entendre que l’attaque peut être menée à une distance encore plus élevée, simplement leur environnement de test ne leur a pas permis d’essayer.

Lien YouTube S’abonner à FrAndroid