Les assistants intelligents font partie du quotidien de millions d’utilisateurs de smartphones, de tablettes, d’ordinateurs, de téléviseurs connectés, et globalement d’à peu près tout qui intègre un micro et qui va sur internet ! Malheureusement, des chercheurs ont mis au jour une nouvelle faille qui, entre de mauvaises mains, peut donner beaucoup de pouvoir à des hackers malveillants.
Le danger des commandes vocales inaudibles
Une équipe de spécialistes des universités du Texas et du Colorado ont développé un nouveau vecteur d’attaque baptisé « Near-Ultrasound Inaudible Trojan » (NUIT) qui peut lancer des commandes en ultrason (donc inaudible pour l’oreille humaine) à tous ces assistants. Ces commandes très discrètes peuvent par exemple demander à l’assistant de déverrouiller la porte d’entrée si celle-ci est équipée d’un loquet connecté, ou encore de désactiver les alarmes. Dans certains cas il serait même possible d’envoyer des données confidentielles, voire d’ouvrir des sites web remplis de malwares.
Deux cas de figure sont possibles. Dans le premier de ces scénarios, le smartphone est à la fois la source de l’attaque et la cible. Une vidéo lue à partir du téléphone peut envoyer un message ultrason qui déclenche l’assistant. Dans le second cas, c’est une enceinte connectée qui est visée depuis un haut parleur externe. La commande inaudible peut être transmise depuis un site web, une vidéo YouTube, une Smart TV, bref, tout ce qui possède un haut parleur. « Cela peut même se produire dans Zoom pendant une réunion », alerte Guenevere Chen de l’université du Texas. « Si quelqu’un désactive le silencieux [dans Zoom], le signal d’attaque peut alors être transmis pour pirater le téléphone à côté de votre ordinateur ».
Il faut néanmoins deux conditions pour réussir le hack : que le volume du haut parleur qui transmet l’attaque soit à un certain niveau, et que la commande malveillante dure moins de 0,77 seconde. Les chercheurs ont testé 17 appareils parmi les plus achetés équipés d’un assistant connecté, et tous sont tombés sous le coup de cette attaque. Tous, à l’exception de Siri qui nécessite d’émuler ou de « voler » la voix de la victime pour accepter des commandes vocales.
Si l’appareil dispose d’une telle sécurité, alors il est très recommandé de l’activer. Sinon, il faut surveiller les témoins d’activité pour le micro, qui s’affichent sur les écrans des iPhone et des smartphones Android, afin de s’assurer que l’assistant n’a pas été activé dans son dos. Il est aussi possible d’utiliser des écouteurs ou un casque audio pour éviter que les hauts parleurs diffusent des commandes ultrason. Sur les smartphones, des réglages existent pour complètement désactiver les assistants.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Et l’article est fait pas apple où ils sont pas très loin 🙂
Et bien sûr on publie ce genre d’articles histoire de mettre encore plus de personnes malveillantes au courant…