Amazon Echo et Google Home : une faille permet de connaître le mot de passe et d’autres infos

Jean-Baptiste A.

22 Oct. 2019 • 8:10

Les enceintes connectées de Google et Amazon sont-elles sécurisées ? Des chercheurs en sécurité de Security Research Labs (SRLabs) ont trouvé une méthode qui permet d’écouter les utilisateurs parler sans qu’ils soient au courant.

Amazon Echo Vs Google Home

Les chercheurs ont développé des applications qui, sur le papier, semblent anodines. Celles-ci intègrent pourtant un code spécial qui permet de garder le micro activé après une requête faite par un utilisateur. Le micro se désactive normalement après quelques secondes quand l’utilisateur n’interagit pas avec l’enceinte. Ici, une parade a été trouvée.

Dans une vidéo de démonstration, une requête est faite pour lancer une application de l’horoscope. Un silence de plusieurs secondes a lieu et l’enceinte se met à demander à l’utilisateur son mot de passe à haute voix pour valider l’installation d’une mise à jour. L’utilisateur peut penser qu’il s’agit d’une requête légitime d’Amazon ou de Google selon son enceinte. Et pourtant, il s’agit bien de l’application malveillante qui a réussi à laisser le micro activé depuis le début et qui est toujours active.

Démo avec l’Amazon Echo

Démo avec le Google Home

Des personnes malveillantes peuvent mettre la main sur le mot de passe dans cet exemple, tout comme elles peuvent récupérer tout ce qui se dit à voix haute. Cela peut être des broutilles, comme cela peut être des informations personnelles.

Amazon et Google ont été avertis de la faille. Les deux groupes, qui ont respectivement approuvé les applications avec le code malicieux, ont promis de mieux détecter ce genre de tentative à l’avenir et ont bloqué l’usage du code malicieux. Google va même plus loin en examinant de plus près les actions possibles par les applications tierces pour voir si d’autres développeurs font de l’abus.

Signaler une erreur dans le texte

Les sujets liés à ces tags pourraient vous interesser

2 commentaires pour cet article :

Jude
22 Oct. 2019 • 09:58

Heureusement que je suis tombé sur cet article à temps, car je m’apprêtais à acheter une enceinte connectée de Google. Du coup, je ne sais plus quoi faire. Je tiens à mes données personnelles.
- Répondre
- Bwaaazaaah
  22 Oct. 2019 • 12:21
  
  Généralement c’est pas du côté de Google qu’on va voir si on tient à ses données personnelles !!! Mais pourquoi pas :/
  Souvent en promo tu peux essayer pour commencer les enceintes Echo de Amazon, c’est sympa, c’est gadget, tu vas lui demander pleins de trucs au début après ça dépend quelle sera ton utilisation par la suite, si c’est juste pour avoir la météo et faire 2 ou 3 requêtes ton smartphone avec Siri/Google ou Alexa suffit largement.
  Si tu as l’idée de mettre des prises connectées, des ampoules ou autres, ça devient intéressant…
  - Répondre

Laisser un commentaire

Sauvegarder mon pseudo et mon adresse e-mail pour la prochaine fois.

Fils des commentaires

Quelques règles à respecter :

1. Restez dans le sujet de l'article
2. Respectez les autres lecteurs : pas de messages agressifs, vulgaires, haineux,…
3. Relisez-vous avant de soumettre un commentaire : pas de langage SMS, et vérifiez l'orthographe avant de valider (les navigateurs soulignent les fautes).
4. En cas d'erreur, faute d'orthographe, et/ou omission dans l'article , merci de nous contacter via la page Contact.

Nous nous réservons le droit de supprimer les commentaires qui ne respectent pas ces règles