Piratée, l’enceinte connectée Amazon Echo peut se transformer en micro de surveillance
Piratée, l’enceinte connectée Amazon Echo peut se transformer en micro de surveillance
Une étude récente montre qu’il est très facile de pirater les modèles d’Amazon Echo de 2015 et 2016 – à condition d’y avoir accès physiquement.
Les modèles de 2017 d'Amazon Echo et l'Amazon Dot ne sont pas vulnérables à la technique de piratage présentée dans l’étude. | Amazon Inc.
« Ici, nous présentons une technique pour débrider un Amazon Echo et le mettre sur écoute », écrit Mark Barnes, chercheur en cybersécurité pour l’entreprise MWR Labs, en guise d’introduction d’une étude publiée le 1er août.
Lui et son équipe ont découvert qu’il était possible de pirater les modèles de 2015 et de 2016 de l’enceinte connectée Amazon Echo — un appareil capable de répondre à des questions de son propriétaire, de lui donner la météo ou d’allumer les lumières.
Mark Barnes a remarqué deux problèmes majeurs. Le premier est qu’il suffit de retirer la base en caoutchouc d’Amazon Echo pour révéler dix-huit ports utilisés pour le dépannage, librement acccessibles. Le second est qu’il est possible de rebooter la machine à partir d’une simple carte SD. Après avoir pénétré grâce à ces vulnérabilités dans le système, le pirate peut écouter à distance tout ce qui est à portée du micro de l’objet, en permanence.
Une mise à jour du logiciel ne permet pas de réparer l’Amazon Echo une fois qu’il a été piraté, le seul moyen est de le modifier à la source. Mark Barnes a également tenté de pirater les modèles 2017 et la version « mini » d’Echo, Amazon Dot, sans succès.
Un accès physique nécessaire
Le chercheur tempère lui-même dans la conclusion de son étude la gravité de sa découverte : « Il était très facile de débrider l’Amazon Echo, mais il faut un accès physique, ce qui est une limite majeure. Cependant, les développeurs ne devraient pas tenir pour acquis que leurs clients n’exposeront pas leurs [Amazon Echo] a des environnements non contrôlés. » Par exemple, les hôtels Wynn de Las Vegas ont annoncé qu’ils installeraient des Amazon Echo dans leurs chambres. Il serait alors simple pour des pirates de mettre la main sur le produit.
Le nombre de machines concernées par cette vulnérabilité est incertain. Amazon n’a jamais donné les chiffres exacts de ses ventes. Néanmoins, une enquête de marché du site Statista estimait que plus de 7 millions d’Amazon Echo avaient été vendus entre 2015 et 2016 — l’appareil n’est toutefois pas disponible aujourd’hui sur le marché français.