Pour fonctionner les assistants personnels que sont Siri, Alexa ou Google Assistant écoutent et répondent aux commandes. Pourtant leurs capteurs peuvent être trompés à l’aide de lasers, permettant d’exécuter des commandes à distance.
Imaginez que vous ayez configuré votre maison intelligente afin d’ouvrir votre porte de garage en le demandant à Siri via le HomePod de votre salon. Que se passerait-il si un voleur pouvait le lui demander grâce à un laser pointé à travers la fenêtre d’ouvrir la porte en votre absence ?
Les assistants personnels sont attaquables avec un laser
Des chercheurs au Japon et à l’Université du Michigan ont découvert que ce scénario catastrophe ne relevait pas de la fiction. Comme dans Watch Dogs, il est en effet possible de tromper les microphones inclus dans les appareils tels que Google Home, Amazon Echo ou Apple HomePod grâce à des pulsations envoyées par un laser. Le pire est que cela est possible à travers les fenêtres à une distance supérieure à 100 mètres.
Le papier publié par les chercheurs est nommé « Light Commands : Laser-Based Audio Injection Attacks on Voice-Controllable Systems » ou « Commandes lumineuses : Attaques par injection audio via laser sur des systèmes contrôlables par la voix ». Dans cette analyse complète, ils décrivent comment les assistants personnels, Facebook Portal, mais aussi un certain nombre de smartphones sont vulnérables à ces attaques.
Un système facile à concevoir pour seulement 300 euros
La mise en place n’est pas si simple. Pour que l’attaque puisse fonctionner, il faut que l’attaquant ait une vision directe vers le matériel. Il doit alors viser précisément le microphone. Sauf à utiliser un laser infrarouge, le point sera visible par le propriétaire de l’assistant. Quand une commande sera passée, il pourra entendre la douce voix de Siri ou Alexa. Toutefois, s’il n’est pas chez lui, rien ne peut empêcher l’attaque d’avoir lieu. Les chercheurs notent le manque de mécanisme d’authentification ou leur souci de mise en place, autorisant par exemple le bruteforce de code PIN.
Le matériel nécessaire est facilement trouvable : un pointer laser à quelques euros accompagné d’un contrôleur qui en coûte près de 300. Après les polémiques de ces derniers mois sur les conversations envoyées à l’insu de leurs auteurs, le piratage possible pour transformer ces assistants en micros-espions, cette nouvelle vulnérabilité continue à faire perdre la confiance que les acheteurs pourraient avoir dans ce type de matériel. Si vous en avez un, assurez-vous qu’il ne soit pas visible de vos fenêtres.
Source : Arstechnica