Les enceintes connectées de Google et Amazon sont-elles sécurisées ? Des chercheurs en sécurité de Security Research Labs (SRLabs) ont trouvé une méthode qui permet d’écouter les utilisateurs parler sans qu’ils soient au courant.
Les chercheurs ont développé des applications qui, sur le papier, semblent anodines. Celles-ci intègrent pourtant un code spécial qui permet de garder le micro activé après une requête faite par un utilisateur. Le micro se désactive normalement après quelques secondes quand l’utilisateur n’interagit pas avec l’enceinte. Ici, une parade a été trouvée.
Dans une vidéo de démonstration, une requête est faite pour lancer une application de l’horoscope. Un silence de plusieurs secondes a lieu et l’enceinte se met à demander à l’utilisateur son mot de passe à haute voix pour valider l’installation d’une mise à jour. L’utilisateur peut penser qu’il s’agit d’une requête légitime d’Amazon ou de Google selon son enceinte. Et pourtant, il s’agit bien de l’application malveillante qui a réussi à laisser le micro activé depuis le début et qui est toujours active.
Démo avec l’Amazon Echo
Démo avec le Google Home
Des personnes malveillantes peuvent mettre la main sur le mot de passe dans cet exemple, tout comme elles peuvent récupérer tout ce qui se dit à voix haute. Cela peut être des broutilles, comme cela peut être des informations personnelles.
Amazon et Google ont été avertis de la faille. Les deux groupes, qui ont respectivement approuvé les applications avec le code malicieux, ont promis de mieux détecter ce genre de tentative à l’avenir et ont bloqué l’usage du code malicieux. Google va même plus loin en examinant de plus près les actions possibles par les applications tierces pour voir si d’autres développeurs font de l’abus.
Heureusement que je suis tombé sur cet article à temps, car je m’apprêtais à acheter une enceinte connectée de Google. Du coup, je ne sais plus quoi faire. Je tiens à mes données personnelles.
Généralement c’est pas du côté de Google qu’on va voir si on tient à ses données personnelles !!! Mais pourquoi pas :/
Souvent en promo tu peux essayer pour commencer les enceintes Echo de Amazon, c’est sympa, c’est gadget, tu vas lui demander pleins de trucs au début après ça dépend quelle sera ton utilisation par la suite, si c’est juste pour avoir la météo et faire 2 ou 3 requêtes ton smartphone avec Siri/Google ou Alexa suffit largement.
Si tu as l’idée de mettre des prises connectées, des ampoules ou autres, ça devient intéressant…
Razer Basilisk V2 - Souris de jeu filaire avec 11 boutons programmables, commutateurs de souris optiques et capteur optique 20K pour une précision maximale
Souvent en promo tu peux essayer pour commencer les enceintes Echo de Amazon, c’est sympa, c’est gadget, tu vas lui demander pleins de trucs au début après ça dépend quelle sera ton utilisation par la suite, si c’est juste pour avoir la météo et faire 2 ou 3 requêtes ton smartphone avec Siri/Google ou Alexa suffit largement.
Si tu as l’idée de mettre des prises connectées, des ampoules ou autres, ça devient intéressant…