Vos assistants personnels sont-ils vulnérables aux hacks ? Peuvent-ils être utilisés sans que vous le sachiez ? Une université chinoise a trouvé une méthode de hacking, certes impressionnante, mais peu réaliste.
Des scientifiques de l’Université de Zheijiang en Chine ont publié un rapport qui démontre que Alexa, Siri et Google Assistant sont susceptibles d’être piratés par une commande à base d’ultrasons. Définitivement originale, cette nouvelle méthode de hack ouvre la porte a toute sorte de piratage sur les téléphones, tablettes et même les voitures. On vous rassure tout de suite, cette technique a ses limites et il est peu probable qu’elle cause des dégâts irréparables.
Ce n’est pourtant pas la première fois que des ultrasons sont impliqués dans les communications fantômes entre plusieurs appareils connectés. C’est le cas du Chromecast de Google et des Dash Buttons d’Amazon qui utilisent ces fréquences pour se synchroniser avec votre smartphone. En outre, des publicitaires peu scrupuleux ont déjà utilisé des fréquences sonores inaudibles similaires pour vous proposer de la publicité basée sur les navigations Web de tous vos appareils.
Pour exploiter cette technique, les chercheurs ont cherché à convertir leurs voix dans des fréquences humainement inaccessibles (20 kHz) et ont ensuite soumis plusieurs systèmes des commandes vocales à ce petit test. Cette expérience a été couronnée de succès et l’équipe chinoise a été en mesure d’effectuer toutes sortes de commandes (appels, navigation web, etc…).
Les chercheurs formulent l’hypothèse que même un système protégé par une signature vocale unique peut être manipulé. Si vous arrivez à faire parler une cible suffisamment longtemps, à lui faire prononcer une phrase en particulier et que vous êtes en mesure d’isoler des syllabes alors il est possible de prendre le contrôle de son appareil.
La méthode est certainement très impressionnante, mais elle reste, pour le moment, peu réalisable dans un environnement non maîtrisé. Pour pouvoir hacker une commande vocale de cette façon il faut être très proche de la cible et dans un environnent suffisamment silencieux, le matériel nécessaire est peu discret et des réglages de fréquences sont à prévoir. D’autre part, les requêtes potentiellement dangereuses comme la navigation sur un site, le téléchargement d’un document ou le transfert d’argent nécessitent un déverrouillage supplémentaire.
En conclusion, DolphinAttack prouve, une fois de plus, qu’à mesure nous découvrons de nouvelles manières d’interagir avec la technologie plus nous devenons vulnérables. À l’heure où nous parlons d’interagir avec la machine en langage commun, les fabricants d’informatique devraient se pencher sur des problématiques comme celle-ci.
Ajouter un commentaire