L’assistant vocal d’Amazon Alexa serait touché par une vulnérabilité

Après avoir piraté TikTok, Microsoft Azure, WhatsApp ou encore les ampoules Philips, c’est autour de Alexa, l’assistant vocal de Amazon d’être la cible de cette équipe spécialisée dans le piratage.

Encore une fois elle a réussi à pirater le programme, sous la spéculation selon laquelle les 200 millions d’appareils embarquant Alexa « pourraient être un point d’entrée privilégié pour les pirates informatiques ». L’équipe de recherche de Checkpoint met finalement en avant, de manière plus concrète « de sérieuses failles de sécurité chez Alexa ». Selon cette équipe : « en un seul clic, un utilisateur aurait pu abandonner son historique vocal, son adresse personnelle et le contrôle de son compte Amazon ».

Cet article va aussi vous intéresser : Les assistants vocaux de Google et Amazon sont vulnérables aux attaques

Les risques encourus par l’usage des enceintes connectées, de manière étendue des assistants virtuels sont généralement quelque chose qui sois pas inédit. L’année dernière déjà ce genre de dispositif au cœur plusieurs scandales, surtout qu’il a été mais en avant que les conversations et les échanges des utilisateurs de ces programmes et outils informatiques étaient enregistré dans le but d’améliorer des performances des intelligences artificielles en avant dans le développement du projet.

Mais aujourd’hui il ne faut pas être naïf, tout appareil que nous utilisons pouvant être connectés à Internet présente un risque d’une manière que ce soit. En ce qui concerne l’outil Amazon, l’équipe de recherche de la société de cybersécurité a soulevé que la méthode utilisée pour pirater Alexa n’a rien de sophistiqué.

Amazon un été averti de la vulnérabilité n’a pas manqué de déployer immédiatement les mises à jour affectant les logiciels incriminés.  À ce propos sont porte-parole déclarait : « la sécurité de ses appareils est une priorité absolue, et qu’ils apprécient le travail de chercheurs indépendants comme Check Point qui les signalent les problèmes potentiels. Ils ont réglé ce problème peu après qu’il ait été porté à leur attention, et ils continuent à renforcer nos systèmes. Ils n’ont connaissance d’aucun cas d’utilisation de cette vulnérabilité contre leurs clients ou d’exposition d’informations sur les clients ».

On peut supposer alors que le problème semble résolu pour le moment. Mais on se demande comment cela a-t-il pu arriver ? En quoi consiste véritablement cette vulnérabilité. Les chercheurs affirment avoir commencer par une technique de type phishing en envoyant un lien vérolé à une victime en particulier. Ce lien avait pour fonctionnalité de déclencher automatiquement la faille de sécurité, pouvant alors permettre à l’attaquant : « d’installer silencieusement des compétences sur le compte Alexa d’un utilisateur, d’obtenir une liste de toutes les compétences installées sur le compte, de supprimer silencieusement une compétence installée, d’obtenir l’historique vocal ou les informations personnelles de la victime ».

De façon simple, disons que si l’utilisateur clique sur le lien qui le reçoit. Il est alors dirigé vers un site de Amazon. Ce site bien évidemment et factice je sais que c’est une plate-forme préparée par le cybercriminel, pour injecter un coup de malveillant dans le terminal de ces derniers. De cette façon l’attaquant va tout simplement extraire applications liées à Alexa qui sont déjà installées par l’utilisateur, pour dérober leurs jetons de sécurité. Ensuite supprime en ligne des applications pour la remplacer par une autre conçu pour le piratage. Un instant où l’utilisateur demanderas à Alexa d’activer l’application, le cybercriminel pourra à l’heure être en activité.

Une compagne de piratage affectant Alexa peut être de manière sporadique ou ciblée. En effet soit les cybercriminels envoient massivement les liens à une liste de personne, en attendant sagement que cette dernière mord l’hameçon, où se concentre en particulier sur une victime de leur choix. Dans ce cas de figure, l’expert de Checkpoint Oded Vanunu note : « un attaquant pourrait mener une attaque plus élaborée en obtenant la liste des compétences et en remplaçant une de ses compétences par une compétence malveillante d’apparence similaire ». Malgré le fait qu’un tel exploit ne soit pas quelque chose d’assez sophistiqué. « Une combinaison de mauvaises configurations XSS, CSRF et CORS », pour un utilisateur, cette attaque semblerait transparente et sophistiquée ».

Dans ce contexte, Ekram Ahmed, porte-parole de Check Point donne quelques conseils pour ne pas se faire avoir par cette vulnérabilité : « Nous publions des conseils de sécurité et des directives sur l’utilisation d’Alexa.  Évitez les applications inconnues – ne les installez pas sur votre haut-parleur intelligent. Faites attention aux informations sensibles que vous partagez avec votre smart speaker, comme les mots de passe et les comptes bancaires. De nos jours, n’importe qui peut créer des applications d’assistant intelligent, alors renseignez-vous sur l’application avant de l’installer et vérifiez les autorisations dont elle a besoin. Tout le monde peut publier une compétence, et les compétences peuvent effectuer des actions et obtenir des informations ».

La vigilance est de mise car l’utilisation d’outils comme Alexa touche d’une certaine manière, nos données personnelles. « Les informations personnelles de tout utilisateur qui ont été partagées avec l’appareil Alexa pourraient être potentiellement en danger », a souligné Oded Vanunu. « Ces applications pourraient être des applications financières ou de détail. Avec cette attaque, je pourrais désinstaller et installer de fausses applications qui seront déclenchées par un appel à l’application désinstallée sécurisée » ajoute-il.

Accédez maintenant à un nombre illimité de mot de passe :