Des hackers se servent d’Amazon Alexa et Google Home pour voler vos identifiants

Publié le

Des chercheurs allemands en cybersécurité ont réussi à introduire un fichier malveillant dans des assistants vocaux. Ces derniers leur permettent de demander à leurs utilisateurs des données sensibles comme un mot de passe ou les numéros d’une carte de crédit.

Depuis plusieurs années, les assistants vocaux se font une place au sein de nos foyers. Un simple “Ok Google” ou “Hey Alexa” permet désormais d’obtenir rapidement et facilement des informations sans toucher un clavier ou un smartphone. 

Ces petits gadgets ne sont cependant pas à l’abri des hackers. Le laboratoire de cybersécurité allemand SRLabs (Security Research Labs) vient de démontrer à quel point il est aisé pour une personne malveillante de détourner l’usage des assistants vocaux.

Les murs (ou les assistants) ont des oreilles

Dans un article et plusieurs vidéos postés sur leur site officiel, les chercheurs font la démonstration d’assistants vocaux comportant un fichier malveillant. Ces derniers se comportent de manière tout à fait normale et obéissent aux fameuses commandes “Ok Google” et “Hey Alexa”. Cependant, les deux assistants testés (Google Home et Amazon Echo) ne se désactivent pas par la suite. Pire encore, vos conversations sont alors enregistrées par l’appareil.

La vidéo suivante montre comment l’assistant vocal enregistre vos paroles, malgré la demande de l’utilisateur :

 

Le problème vient avant tout de la commande “stop” qui n’est alors pas respectée. L’assistant va effectivement cesser de s’exprimer mais continuera à vous écouter et à enregistrer.

“Veuillez me donner votre mot de passe”

Il ne s’agit pas du seul test effectué par le laboratoire. Les chercheurs ont injecté un autre fichier malveillant dans les assistants vocaux de test. Ces derniers sont alors détournés de leur fonction principale et cherchent à obtenir des informations personnelles.

Alors que l’utilisateur effectue une simple requête comme la météo du jour ou son horoscope, l’assistant vocal lui indique que cette action n’est pas possible dans son pays. Pour prétexter qu’il souhaite remédier à cela, votre assistant va par la suite vous demander votre mot de passe Amazon ou Google : “Il y a une nouvelle mise à jour disponible pour votre Google Home. Pour la démarrer, veuillez dire START suivi de votre mot de passe Google”.

 

Bien évidemment, Google ou Amazon ne vous demanderont jamais vos identifiants d’une telle façon. Il n’y a rien de moins sécurisé que d’exprimer votre numéro de carte bleue à haute voix.

De manière générale, nous vous déconseillons toujours d’exprimer des informations personnelles devant un assistant vocal si vous avez le moindre doute sur l’intégrité de ce dernier.

Source

Sending
User Review
0 (0 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet