Une faille de sécurité permet de contrôler les assistants vocaux de Google, d’Apple ou d’Amazon
Une faille de sécurité permet de contrôler les assistants vocaux de Google, d’Apple ou d’Amazon
En transmettant des signaux inaudibles pour l’oreille humaine, il est possible de donner des ordres à ces assistants à l’insu de leur propriétaire.
Un assistant Amazon Echo. / AP
Les chercheurs qui ont découvert cette faille l’appellent la « technique du dauphin » : une méthode simple et bon marché qui permet de faire passer, à l’insu de son propriétaire, des ordres à tous les assistants vocaux du marché. Elle permet par exemple de demander à Siri, l’assistant d’Apple, de passer un appel téléphonique ; de demander à Alexa de faire une commande sur Amazon ; et même de donner une nouvelle destination à un système de navigation embarqué.
Pourquoi le dauphin ? Tout simplement parce que la technique se base sur l’utilisation de fréquences sonores inaudibles par l’humain, comme celles utilisées par ces mammifères marins pour communiquer – elles sont parfaitement perçues par les micros des assistants vocaux. La technique permet donc en toute simplement de « prononcer » de manière inaudible des commandes pour activer, par exemple, l’assistant Alexa d’Amazon, avant de lui demander de passer une commande. Les instructions passent par la bande supérieure à 20 kHz, inaudible pour la plupart des êtres humains – notamment à l’âge adulte.
Le procédé ne nécessite pas non plus de matériel hors de prix : quelques composants coûtant quelques euros suffisent pour émettre ces infrasons, notent les chercheurs de l’université du Zhejiang (Chine) à l’origine de la découverte (PDF), dont l’étude a été rendue publique mais n’a pas encore été publiée dans une revue à comité de lecture.
Correction possible
Il est, selon les auteurs, possible de la corriger, soit en améliorant les micros utilisés par les différents appareils équipés d’un assistant pour qu’ils filtrent les sons situés dans la bande de plus de 20 kHz, soit en confiant au logiciel de ces assistants le soin de détecter les commandes « atypiques ». Mais la correction du problème nécessiterait aussi des modifications du mode de fonctionnement de ces appareils, qui utilisent les fréquences supérieures à 20 kHz pour leurs propres besoins, notamment pour synchroniser des appareils entre eux en transmettant des signaux inaudibles pour l’oreille humaine.
La faille est pourtant loin d’être anecdotique : si la prise de contrôle d’un assistant type Google Home n’offre que des possibilités limitées, ces assistants vocaux sont aussi très utilisés sur smartphone, et existent également sur ordinateurs – les version récentes de Windows intégrant Cortana, l’assistant vocal de Microsoft. La technique peut par exemple être utilisée pour faire ouvrir au téléphone ou à l’ordinateur une page Web contenant un logiciel malveillant, et offre potentiellement un canal d’attaque qui ne nécessite pas d’accéder physiquement au téléphone ou à l’ordinateur.
