À chaque nouvel objet connecté arrivant sur le marché, des potentielles failles de sécurité présentes peuvent être exploitées de manière malveillante. L’exemple d’Android, dont plus de 300 applications du Play Store avaient été le vecteur d’une attaque DDoS lancée par un botnet, met parfaitement en lumière le problème. Ce qui n’est pas non plus très rassurant, c’est la récurrence de ces failles. Récemment, une étude a montré que les assistants intelligents tels que Siri ou Alexa étaient vulnérables aux … ultrasons.

Des chercheurs de l’Université de Zhejiang en Chine ont partagé une étude expliquant comment il est possible de faire exécuter des commandes à un assistant intelligent sans que l’utilisateur ne s’en aperçoive. En cause, la DolphinAttack (en référence à la manière dont communique les dauphins), une technique qui permet de retranscrire des commandes vocales en fréquences d’ultrasons. Ainsi, l’équipe de chercheurs a prouvé que la voix n’était pas seule dirigeante de ces hauts-parleurs intelligents. Bien que l’oreille humaine n’entende rien à ce type d’ultrasons, les micros et les logiciels des assistants sont parfaitement aptes à obéir aux ordres.

Siri et Alexa ne sont pas les seules victimes des ultrasons, sont aussi concernés en vrac : Google Assistant, iPhone, Google Nexus, Cortana, mais aussi … les voitures ou les maisons connectées. L’équipe de chercheurs a procédé à plusieurs tests qui ont tous abouti, réussissant ainsi à passer un appel ou à lancer un FaceTime. Facile donc d’imaginer l’assistant ouvrir un navigateur web et tranquillement récupérer un virus. Une hypothèse que les chercheurs ont d’ailleurs testé, et qui s’est avérée concluante sur MacBook et sur la tablette Nexus 7. Les chercheurs précisent dans l’étude : « Les commandes vocales inaudibles remettent en cause l’hypothèse courante selon laquelle les adversaires peuvent tout au plus essayer de manipuler [un assistant vocal] vocalement et être détectés par un utilisateur averti ». Par conséquent, il s’agit d’un type d’attaque contre lequel il est difficile de se prémunir.

Plutôt que de faire la course au podium pour être leader du marché des smart speakers, les fabricants devraient d’abord penser à combler les failles de sécurité aussi béantes que celle-ci. Surtout qu’elles pourraient résulter à une fuite massive de données personnelles en tout genre.

Source : Fast Co. Design