Amazon Alexa : une faille donnait accès aux informations des utilisateurs

Une faille de sécurité assez conséquente concernant Alexa a été corrigée. Des hackers pouvaient viser l’assistant vocal d’Amazon et accéder aux informations personnelles des utilisateurs.

Le cabinet Check Point Research explique que des vulnérabilités dans certains sous-domaines d’Amazon/Alexa ont été identifiées et pouvaient permettre à un hacker de supprimer ou installer des skills (compétences) sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles (historique des données bancaires, numéros de téléphone et adresse du domicile).

Selon les chercheurs, l’attaque ne nécessitait pour fonctionner qu’un simple clic de la part de l’utilisateur sur un lien malveillant créé par le hacker, mais provenant des systèmes d’Amazon. Les hackers pouvaient ensuite profiter d’une interaction vocale avec l’une des compétences installées pour accéder à des informations.

Check Point Research note que les enceintes connectées et les assistants vocaux comme Alexa sont tellement courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans les foyers.

Amazon, qui a réagi, dit n’avoir connaissance d’aucun cas d’utilisation de cette vulnérabilité. Le commerçant en ligne assure également avoir rapidement corrigé la faille une fois qu’il a été averti.