Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Amazon Echo, Google Home : une faille pour écouter vos mots de passe et conversations

Après les révélations d'Edward Snowden, nombreuses sont les personnes à s'inquiéter de la place toujours grandissante des appareils connectés dans les foyers mondiaux. Après tout, quelqu'un pourrait les utiliser pour écouter des conversations sensibles.

Eh bien figurez-vous que c'est… possible. Un groupe de recherche allemand, SRLabs, vient de le démontrer aussi bien sur Google Assistant qu'Amazon Alexa. Cela se fait grâce aux Skills et Actions, ces petites fonctionnalités que vous pouvez rajouter à vos appareils et qui sont développées par des tiers.

Tenter de récupérer un mot de passe

Tout se passe comme une arnaque habituellement réalisée par mail. Avec un simple skill (ou action) vérolé, nommé « My Lucky Horosocope », l'équipe peut pousser l'utilisateur à dévoiler son mot de passe.

https://www.youtube.com/watch?v=Wh2uexUAy7k

La technique est assez simple dans son principe. Lors de l'activation de My Lucky Horoscope, l'application prévient qu'elle n'est pas disponible pour le pays de l'utilisateur. Mais en vérité, elle continue d'être activée et va par la suite imiter un message système prévenant d'une mise à jour. Elle invite l'utilisateur à dire « start » suivi de son mot de passe Amazon.

https://www.youtube.com/watch?v=HliuWtVW4vY

Les plus versés en technologie reconnaîtront immédiatement une tentative de phishing, mais ce ne sera pas nécessairement le cas d'une personne moins au fait des arnaques habituelles sur le web. La conversation est alors envoyée sur les serveurs distants de l'attaquant, qui peut récupérer votre mot de passe avec aise.

Écouter les conversations

Même principe d'utilisation, mais le Skill/Action va désormais enregistrer les conversations de l'utilisateur. Sur Amazon Alexa, l'application continue d'enregistrer même lorsque l'utilisateur a spécifiquement demandé l'arrêt.

https://www.youtube.com/watch?v=A3n-0AbXznc

Sur Google Assistant, l'attaque est encore plus pernicieuse puisqu'elle va continuer d'enregistrer tant qu'elle reçoit une conversation.

https://www.youtube.com/watch?v=X2gddqD1wUI

Là encore, l'enregistrement est ensuite transféré vers un serveur distant.

En cours de correction

Pas de panique cependant : SRLabs a déjà retiré ces applications test des plateformes de Google et Amazon, et a prévenu les deux intéressés de leurs trouvailles. Les géants de la tech ont prévenu que les vérifications d'applications disponibles dans leurs magasins respectifs seront renforcées, en prime d'ajouter de nouveaux mécanismes de protection pour empêcher ce type d'attaque à l'avenir.

Ainsi, comme pour chaque appareil connecté à internet, la course est lancée : les pirates trouveront des failles, les constructeurs les corrigeront, ils trouveront d'autres failles, et le cycle perdurera à tout jamais. Les enceintes connectées, si intimes puissent-elles être, ne sont de toute évidence pas exemptées.