Une collaboration entre des chercheurs situés à Tokyo et au Michigan, ont mis au point un système pour commander Google Assistant, Amazon Alexa, Facebook Portal et Apple Siri à l’aide d’une lumière pointée vers leur microphone. Certains smartphones seraient également contrôlés grâce à cette manipulation.

Des expériences réalisables au quotidien ?

Les universitaires déclarent avoir pris le contrôle de « plusieurs appareils contrôlés par la voix, smartphones, tablettes et téléphones sur de grandes distances et travers de fenêtres en verre », en pointant la lumière d’un laser vers les microphones de Google Home et Amazon Echo. Concrètement, le rayon du laser vient « perturber » la membrane du microphone, qui, prenant cela pour un signal, réagit à la demande.

Les experts rendent compte dans leur étude des essais menés sur divers appareils, listés ci-dessous.

Tableau récapitulatif

Liste des appareils sur lesquels ont été menées les expériences / Crédit : « Light Commands » – University of Electro-Communications / University of Michigan

La majorité des appareils semble être réceptive à ce type d’expérience à une distance environnant les 50 mètres. Distance suffisante pour commander l’ouverture d’une porte de garage depuis une enceinte Google Home, située dans un immeuble voisin, est-il indiqué dans le rapport universitaire. Toutefois, en ce qui concerne les appareils iPhone ou Android, ceux-ci sont difficilement atteignables à plus de 10 mètres.

 

Photo du matériel utilisé pour l'expérience

Crédit : « Light Commands » – University of Electro-Communications / University of Michigan

Habituellement, une petite plaque appelée « diaphragme » située à l’intérieur des enceintes, se met à vibrer au son de la voix humaine. Les lasers sont capables de reproduire ce mouvement et de le convertir en signaux électriques, interprétables par les enceintes expliquent les chercheurs. Cette technique leur aura « facilement » permis de prendre le contrôle de plusieurs enceintes pour ouvrir des portes fermées à clé, ou de déverrouiller des voitures connectées aux enceintes intelligentes.

D’autres se sont également penchés sur la vulnérabilité des appareils connectés, démontrant qu’il était possible de les commander à l’aide de techniques inaudibles pour l’oreille humaine. C’est ainsi que des chercheurs de l’université de Zheijiang en Chine, ont réussi à commander Apple Siri et Alexa en envoyant des fréquences ultra-sonores, rapporte Engaget. D’autres universitaires de Berkeley en Californie, ont affirmé pouvoir prendre les commandes de Google Assistant en produisant ce qu’on appelle un bruit blanc, semblable à l’effet de « neige » sur un téléviseur. La dernière étape de leurs travaux consistant à introduire des sons non audibles pour l’humain, à l’intérieur de morceaux écoutés par les utilisateurs. Ainsi, tandis qu’une personne écoute une musique sur son enceinte, Amazon Echo, repérant le signal émis insidieusement, peut « entendre l’instruction d’ajouter un article à une liste de courses ».

Néanmoins, comme le remarque très justement Numerama, pour que ce type d’attaque puisse réellement représenter une menace pour les utilisateurs, il faudrait pouvoir disposer du matériel employé par les chercheurs, et remplir les conditions d’exécution dans lesquelles les expériences ont été menées. Aussi, même s’il est assez simple de se procurer un laser, encore faut-il que la personne mal intentionnée se trouve à une distance raisonnable de votre appareil, avec une visibilité sur celui-ci, et personne dans la pièce pour mener à bien l’opération. Autrement dit, à moins d’être en proie aux actions d’Ethan Hunt, il se peut que les risques soient minimes, étant donné l’usage privé conféré à ces appareils. Reste toutefois le cas d’un cambriolage bien mené, ainsi, Google et Amazon ayant été tenus au courant des expériences, sont déjà en train d’examiner le problème.

Plus largement, ces expériences tiennent à mettre en évidence la vulnérabilité de ces appareils, susceptibles de permettre à certains de porter atteinte à la vie privée des utilisateurs. Ces « indiscrétions » pouvant être profitables, soit directement aux géants du Web, capables par exemple d’accéder aux conversations privées des utilisateurs, et d’utiliser les données récoltées à des fins publicitaires. Soit, dans un contexte encore plus inquiétant, comme l’ont démontré certains chercheurs laissant l’accès à des applications malveillantes, capables de s’immiscer dans les appareils connectés, afin d’espionner les messages et les échanges des usagers.