Des chercheurs de l’entreprise Checkmarx se sont rendu compte qu’il était assez facile de transformer Alexa en un dispositif de surveillance.
Si les appareils Amazon Echo réagissent lorsqu’ils sont sollicités par l’utilisateur, des chercheurs ont cherché à savoir s’ils pouvaient tirer profit de cette réaction et laisser le micro ouvert à l’insu de l’utilisateur. Spoiler, ils ont réussi.
au sujet de l’expérience, Erez Yalon, responsable de la recherche chez Checkmarx indique : « En fait, nous n’avons rien piraté, nous n’avons rien changé, nous avons simplement utilisé les fonctionnalités qui sont offertes aux développeurs […] Nous avions quelques défis à surmonter, mais petit à petit, c’est arrivé ».
Pour se faire, plusieurs employés de Checkmarx ont utilisé une méthode relativement similaire à celui qui pourrait être appliqué avec un mobile. Dans le cas de ce dernier, des personnes mal intentionnées créées régulièrement des applications malveillantes avant de les mettre en ligne sur le Google Play Store pour qu’elles soient téléchargées par le plus grand nombre. Dans le cas des appareils Echo, les chercheurs ont procédé de façon similaire : ils ont créé un faux skill pour Alexa avant de l’ajouter au Skill Store. Sous l’apparence d’un simple outil de calcul se cachaient plusieurs fonctionnalités malveillantes. Les chercheurs ont tenu à préciser qu’il n’avaient pas réellement mis l’outil à disposition des utilisateurs sur le Store.
Par la suite, l’équipe a intégré une fonctionnalité à son skill, permettant au micro de rester actif alors que les calculs de l’outil étaient terminé. Si, Alexa est normalement censé prévenir l’utilisateur que le micro est encore allumé, mais les chercheurs ont empêché l’alerte de fonctionner. Ainsi, Alexa a pu écouter les conversations plus durablement.
Cependant, cette technique n’empêche pas la lumière bleue du micro de s’allumer, puisque ce dernier est actif, et peut donc éveiller les doutes des utilisateurs.
Checkmarx a indiqué avoir prévenu Amazon, et ce dernier a corrigé les failles techniques.
Ajouter un commentaire