Les propriétaires d’appareils Amazon Echo ont été avertis que leurs systèmes pourraient avoir été compromis en raison d’une faille de sécurité dans le service de reconnaissance vocale Alexa.

Les chercheurs de la société de sécurité Check Point ont découvert des vulnérabilités dans certains sous-domaines d’Amazon et d’Alexa qui auraient pu permettre à un tiers d’accéder à l’historique vocal d’un utilisateur.

Cela inclut toutes les recherches vocales et l’historique des conversations effectuées par un utilisateur, et pourrait signifier que des données personnelles seraient consultées et potentiellement volées.

Faille de sécurité Alexa

Les utilisateurs d’Alexa auraient pu être facilement incités à tomber dans la vulnérabilité, qui n’aurait besoin que d’un seul clic sur un lien malveillant conçu et envoyé par le pirate informatique.

Check Point affirme que l’attaque aurait également pu permettre à des pirates de supprimer ou d’installer des applications (appelées compétences) sur le compte Alexa de la victime, ce qui signifie que des programmes malveillants auraient pu être insérés pour voler des informations plus personnelles.

En plus de cliquer sur le lien malveillant, une forme d’interaction vocale aurait également été nécessaire. Les chercheurs ont noté que les pirates pouvaient contourner ce problème en créant une compétence Alexa distincte qui nécessitait la même phrase d’activation qu’un service légitime, de sorte que lorsque l’utilisateur prononçait la «phrase d’invocation» nécessaire, il activait involontairement la compétence malveillante.

«Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile d’oublier la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos maisons. Mais les pirates les considèrent comme des points d’entrée dans la vie des gens, leur donnant la possibilité d’accéder aux données, d’écouter les conversations ou de mener d’autres actions malveillantes sans que le propriétaire ne le sache », a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point.

«Nous avons mené cette recherche pour mettre en évidence à quel point la sécurisation de ces appareils est essentielle au maintien de la confidentialité des utilisateurs. Nous espérons que les fabricants d’appareils similaires suivront l’exemple d’Amazon et vérifieront leurs produits à la recherche de vulnérabilités susceptibles de compromettre la confidentialité des utilisateurs. Alexa nous préoccupe depuis un certain temps maintenant, compte tenu de son omniprésence et de sa connexion aux appareils IoT. Ce sont ces plates-formes méga-numériques qui présentent le plus grand risque de sécurité et peuvent nous nuire le plus. Par conséquent, leurs niveaux de sécurité sont d’une importance cruciale. »

Check Point a déclaré avoir signalé le problème à Amazon en juin 2020, la société corrigeant la faille peu de temps après.

« La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous apportent des problèmes potentiels », a déclaré Amazon dans un communiqué à la BBC.