Google Home, Amazon Echo, HomePod : pourquoi il faut s’inquiéter du piratage des enceintes connectés

 

Google Home, Amazon Echo, HomePod… alors que les enceintes connectées trouvent leur chemin dans nos maisons, la question du piratage se pose de plus en plus. Aussi inoffensives qu'elles puissent paraître, les enceintes connectées peuvent en effet commander les objets connectés, lancer des applications, ou encore faire des achats. Or, en plus de failles de sécurités logicielles, elles sont également vulnérables à plusieurs types d'attaques impliquant des commandes vocales. 

google assistant homepod amazon echo

Lorsque l'on pense à Google Home, à Amazon Echo ou au HomePod on a tendance à minorer la question de la sécurité. Pourtant ces enceintes connectées à Google Assistant, Amazon Alexa ou Siri, de puissants assistants personnels, ouvrent de nouveaux horizons pour les hackers qui peuvent réaliser de nouveaux types d'attaques n'impliquant pas directement l'ouverture d'un programme par la victime ou la visite d'une page web détournée, entre autres exemples. En s'appuyant sur la manière dont ces assistants fonctionnent, il est possible de lancer des programmes à distance, ouvrir des pages web, faire des achats, contrôler les objets connectés et même prendre le contrôle du microphone pour espionner les conversations.

Google Home, Amazon Echo, HomePod : comment des hackers peuvent pirater les enceintes connectées

Google Home, Amazon Echo, et le HomePod sont vulnérables à des attaques logicielles : fondamentalement ces enceintes sont en effet des ordinateurs connectés en permanence à internet. En 2017, le chercheur en sécurité Mark Barnes (MWR Info Security) avait ainsi montré comment exploiter des failles de sécurité de la variante de Linux installée sur les Amazon Echo pour ouvrir un invite de commandes avec privilèges administrateur à distance. Permettant de faire dire n'importe quoi à l'enceinte. Mais aussi, par exemple, d'espionner toutes les conversations qui se tiennent autour de l'Amazon Echo en écoutant le micro.

Bien sûr, la partie logicielle peut être patchée et avec des mises à jour régulières, la sécurité peut, de ces côté, être plutôt bien garantie. Mais il existe d'autres types d'attaques plus sournoises, et difficiles à éviter. La première implique de tout simplement tenter de parler à l'enceinte pour lui faire réaliser des actions. Un hacker peut par exemple mettre les mots ‘Ok Google', ‘Dis Siri' ou ‘Alexa' dans une vidéo, suivi d'une action à réaliser. Ce qui peut, par exemple, lancer, sur une enceinte comme Amazon Alexa, des skills non officielles. Pour rendre la chose moins détectable, les hackers peuvent cacher leur commandes dans des phrases homophones, c'est à dire qui sonnent pareil qu'une commande (et sera comprise comme telle).

Donner des ordres discrets voire inaudibles : c'est possible !

Une variante plus sophistiquée consiste à combiner ce genre d'attaques avec une application malveillante discrète. Par exemple un programme populaire qui fonctionne normalement, mais qui est capable de reconnaitre une commande vocale, et de commander à l'assistant vocal de répondre d'une certaine manière, tout en déclenchant le lancement de code malveillant, ou l'ouverture d'une page web. Ainsi une commande discrète diffusée dans une vidéo YouTube peut déclencher le réveil d'une application malveillante, ou le lancement d'une autre application, qui va alors faire répondre l'assistant par quelque chose laissant par exemple penser que l'application a été fermée alors qu'elle tourne toujours en tâche de fond.

Ces deux techniques ont d'ailleurs fait l'objet d'une publication de l'académie chinoise des Sciences. Enfin, et c'est sans doute plus inquiétant, il est possible de complètement dissimuler la tentative de piratage en lançant des commandes inaudibles pour l'oreille humaine. Dans un article de mai 2018, le New York Times rapporte que Siri, Alexa et Google Assistant réagissent tous lorsqu'on leur donne des ordres vocaux dans la bande des ultrasons – une attaque baptisée DolphinAttack. Dans la vidéo qui suit, les chercheurs de l'université de Zhejiang font la démonstration de l'attaque sur un iPhone. Ce type de commandes a besoin néanmoins d'une relative proximité de la cible vis à vis du dispositif qui diffuse les ultrasons.

Ces derniers ne traversent pas, non plus, les murs. Mais s'accommodent bien d'une fenêtre ouverte – des chercheurs de l'Université d'Illinois ont montré que l'attaque pouvait être menée à une distance d'un peu plus de 7 mètres. De leur côté, les fabricants d'enceintes assurent tous prendre des mesures pour que leurs enceintes soient sécurisées. Apple assure que le HomePod ne peut pas réaliser certaines actions sensibles, dont déverrouiller les portes, et exige le déverrouillage des iPhone et iPad avant de réaliser certaines actions.

Google assure que son assistant a des dispositifs de sécurité contre les commandes inaudibles. Enfin Amazon se contente de dire avoir pris des mesures pour sécuriser son enceinte Echo. Reste que ce genre d'attaques reste possible sur ces enceintes. Et il existe peu de moyens de réellement se protéger, côté utilisateur, si ce n'est procéder à des mises à jour régulières et faire très attention aux applications installées sur tous les appareils. En janvier 2018, Google Home s'était écoulé à 10 millions d'unités dans le monde. Avec des prix raisonnables et une politique commerciale agressive (Google Home Mini est parfois offert avec d'autres achats), ces enceintes vont de plus en plus trouver leur place dans les foyers.

Sans compter l'arrivée prochaine d'Amazon Echodu HomePod, et de Djingo l'enceinte connectée d'Orange. La sécurité des enceintes connectées peut alors devenir un problème majeur. Que pensez-vous de l'intrusion de ces nouveaux appareils dans nos maisons et le risque qu'ils posent en terme de sécurité ? Partagez votre opinion dans les commentaires !



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
  • echo show 8 2021
    Amazon : la vidéosurveillance débarque sur les nouveaux Echo Show 5 et Show 8

    Amazon lance deux nouvelles versions de ses écrans connectés Echo Show 5 et Echo Show 8. Au programme, des améliorations notables au niveau des caméras, une fonction de vidéosurveillance, et un nouveau processeur pour l’Echo Show 8. Amazon continue d’améliorer…

  • google nest hub burn in
    L’écran du Google Nest Hub première génération est victime d’affreux burn-in

    Des utilisateurs du Google Nest Hub de première génération rapportent sur Reddit et plusieurs forums l’apparition d’étonnants problèmes de burn-in. Des marques très visibles apparaissent sur l’écran de certaines unités après seulement un an d’utilisation. Google conseille de réinitialiser l’appareil,…

  • google home
    Google Home : Ok Google, voici les meilleures commandes vocales

    Google Home c’est avant tout Google Assistant, l’un des assistants vocaux les plus performants du marché. Or, même si il sait faire beaucoup de choses, connaître d’avance quelques commandes qui donneront des réponses satisfaisantes est très utile. Vous trouverez tout…

  • homepod mini hero
    HomePod Mini : date de sortie, prix, fiche technique

    Le HomePod Mini, la nouvelle enceinte connectée d’Apple est disponible en France et dans d’autres pays du monde. Son prix de 99 € est plus élevé que de nombreux haut-parleurs concurrents comme le Google Home Mini – on vous propose…

  • google nest hub soli analyse sommeil
    Google lance un Nest Hub qui analyse votre sommeil grâce à un radar, dès 99,99 €

    Google vient de lancer un nouveau Nest Hub. Cette nouvelle enceinte connectée se distingue par la présence d’un capteur Soli, le même radar que celui des Pixel 4 et Pixel 4 XL. Grâce à ce détecteur de gestes, le Nest Hub…

  • homepod
    Apple abandonne le HomePod original et mise tout sur le Mini

    Apple abandonne le HomePod premier du nom. Quatre années après le lancement de celui-ci, la firme de Cupertino tire un trait définitif sur son enceinte connectée ultra premium. Apple préfère se concentrer sur le HomePod Mini, dont le succès a…

  • Google Nest Hub Max
    Spotify gratuit : un bug empêche de lire de la musique sur les Google Nest Hub

    Un bug de Spotify empêche les utilisateurs gratuits de diffuser de la musique sur certaines enceintes connectées compatibles avec Google Assistant, comme le Nest Hub. Désormais, seuls les abonnés « Premium » seraient en mesure d’utiliser cette fonctionnalité. Comme le…

  • amazon echo dot alexa
    Alexa peut allumer vos lumières et passer l’aspirateur toute seule en suivant ses “intuitions”

    Amazon est en train de déployer la fonctionnalité “Hunches” ou “Intuitions” en Français. Grâce à cette dernière, Alexa observe vos habitudes et peut réaliser des actions de manière automatisée comme par exemple éteindre la lumière si vous dormez ou passer…

  • google home
    Google Home : ajouter des appareils va devenir un jeu d’enfants

    Google annonce deux nouveautés pour les développeurs qui vont enfin simplifier l’ajout d’appareils de marque tierce dans Google Home : App Discovery et Deep Linking. Installer un nouveau Google Home ou Chromecast est normalement un jeu d’enfant : il suffit…

  • google nest hub projet soli
    Google Nest Hub : le détecteur de gestes Soli va surveiller votre sommeil

    Google travaille actuellement sur une nouvelle enceinte connectée Nest Hub. D’après les premières fuites, ce nouvel accessoire serait équipé du même radar Soli que les Pixel 4 et Pixel 4 XL. Absent des Pixel 5, ce détecteur de gestes devrait…