Google Assistant, Siri, Alexa : une simple musique permet de pirater votre assistant intelligent

Google Assistant, Siri, Alexa, Cortana et consorts peuvent facilement être piratés grâce à une simple musique, révèle une nouvelle étude. Selon les chercheurs, des commandes audio inaudibles cachées dans une chanson pourraient permettre aux pirates de prendre le contrôle de tous vos appareils connectés, comme votre smartphone, vos enceintes intelligentes et votre équipement domotique. 

Ce n'est pas la première fois que des chercheurs pointent du doigt les failles de sécurité des assistants intelligents. Selon une équipe de chercheurs en sécurité de l’université du Zhejiang  en Chine, des hackers peuvent s'infiltrer dans nos appareils en utilisant des commandes inaudibles pour l'oreille humaine. Baptisée “technique du dauphin”, cette méthode consiste à diffuser des requêtes vocales sur une bande de fréquence supérieure à 20 kHz jusqu’à plus de 7,6 mètres de distance.

Google Assistant, Siri, Alexa : les assistants vocaux peuvent être piratés grâce à une simple musique !

Selon Nicholas Carlini et David Wagne, deux chercheurs de l’université de Californie à Berkeley, il n'est pas compliqué pour un pirate de prendre le contrôle d'un assistant vocal en utilisant des commandes inaudibles. En cachant une commande vocale dans un enregistrement d'opéra, ils sont parvenus à prendre le contrôle d'Alexa, l'assistant intégré au Amazon Echo, qui débarquera sous peu en France.

Dans d'autres cas, la phrase entendue par un assistant diffère de celle perçue par une oreille humaine. “Cocaine Noodles” permet par exemple de convoquer le Google Assistant, qui interprète ça comme le fameux “Ok Google”. Les chercheurs sont ainsi parvenus à rediriger certains utilisateurs sur des sites web, à désactiver certaines options et à activer d'autres commandes.

« Mon hypothèse est que des personnes malintentionnées ont déjà payé des personnes pour faire ce qu'on fait » assure Nicholas Carlini.« Nous voulions démontrer que c’est possible » explique le chercheur, qui espère pousser les entreprises comme Google, Amazon et Apple à corriger le tir.

Nos confrères de Cnet se sont adressés à Amazon, Apple et Google pour obtenir des garanties. Le géant du e-commerce s'est montré plutôt avare en détails est a expliqué limiter “les informations que nous divulguons sur les mesures de sécurité que nous prenons”. 

De son côté, Google propose aux utilisateurs du Google Assistant d'activer Voice Match, une option qui permet “d‘empêcher l’Assistant de répondre à des requêtes liées à des achats ou à l’accès à des informations sensibles s’il ne reconnaît pas la voix de l’utilisateur”. 

Apple n'a par contre pas souhaité réagir à l'article aux conclusion de l'étude. Quand on pense aux nombreux appareils qui sont actuellement connectées au Google Assistant ou à Siri, nous sommes en droit de nous inquiéter.