Les assistants virtuels comme Siri et Alexa rendent nos vies étonnamment plus faciles – mais ils pourraient aussi nous rendre plus vulnérables. Selon des chercheurs de l’université du Michigan et de l’université des électro-communications de Tokyo, une faille de sécurité dans les microphones des assistants pourrait mettre nos appareils (et notre vie privée) en danger. Leur étude, publiée dans un article l’année dernière, a révélé que les pirates peuvent prendre le contrôle d’appareils à commande vocale comme les iPhones à l’aide d’outils aussi simples que des pointeurs laser. Pour info, Siri n’est pas la seule chose qui fait de votre téléphone une cible pour les pirates.

Comment un pointeur laser peut pirater votre iPhone

Croyez-le ou non, les appareils dotés d’assistants virtuels comme Siri répondent aux ondes lumineuses de la même manière qu’aux ondes sonores, selon l’étude. En pointant un rayon laser vers le microphone, les chercheurs ont pu tromper un appareil pour qu’il accepte les commandes comme s’il avait entendu un signal verbal. C’est comme si l’on « parlait » par le biais d’un faisceau lumineux, de telle sorte que le microphone puisse « l’entendre », mais bien sûr pas vos oreilles », explique Randy Pargman, directeur principal de Binary Defense, une société de cybersécurité.

Après avoir passé sept mois à tester le piratage sur des appareils équipés de Google Home, d’Alexa d’Amazon et de Siri d’Apple, les chercheurs ont découvert qu’ils pouvaient transmettre des commandes lumineuses à des centaines de mètres de distance avec des objets allant des pointeurs laser à 14 dollars aux lampes de poche. Ne manquez pas ces autres secrets de cybersécurité que les pirates ne veulent pas que vous sachiez.

Ce que cela signifie pour la sécurité personnelle

Une fois qu’un pirate détourne un assistant à commande vocale, il peut accéder à tout ce qui nécessite une commande vocale. Ceux qui utilisent Siri pour simplement tenir une liste de courses ou leur indiquer la météo courent peu de risques, selon Pargman. Mais cette attaque « est beaucoup plus préoccupante pour les personnes dont la sécurité est liée aux commandes vocales », dit-il. Le pirate serait en mesure de désactiver les systèmes de sécurité de la maison, de commander des articles en ligne en utilisant les informations de carte de crédit enregistrées, ou même d’accéder aux appareils médicaux qui sont synchronisés avec l’assistant.

Cette attaque peut également fonctionner en envoyant le laser à travers une fenêtre, ce qui soulève des inquiétudes quant à la sécurité lorsque les utilisateurs ne sont pas chez eux. Dans un cas, les chercheurs ont réussi à envoyer des commandes lumineuses à travers une fenêtre à un Google Home à l’intérieur d’un autre bâtiment à plus de 200 pieds. Vous pourriez également être surpris d’apprendre ces 7 choses alarmantes que les pirates peuvent faire quand ils ont votre adresse e-mail.

Cela s’est déjà produit ?

Heureusement, les chercheurs ont déclaré qu’ils ne connaissent aucun cas où un attaquant a utilisé des commandes lumineuses pour contrôler un appareil. Bien que l’étude ait démontré cette technique dans plusieurs scénarios du monde réel, Pargman a noté qu’il serait difficile de la reproduire. « Il faut juste la bonne combinaison d’un attaquant sophistiqué qui ferait beaucoup d’efforts pour s’introduire dans une maison et d’une victime qui a beaucoup de dispositifs de sécurité connectés via son assistant numérique », dit-il. « Cela nécessite également que l’assistant numérique soit placé près d’une fenêtre, visible d’un endroit proche où l’attaquant peut installer son équipement. »

Opérant prévenir de futures attaques, les auteurs de l’étude ont partagé leurs conclusions avec les entreprises dont les produits sont vulnérables, notamment Amazon, Apple et Google. Les entreprises ont déclaré qu’elles allaient enquêter sur le problème de sécurité potentiel, mais ont rassuré les utilisateurs sur le fait qu’une telle attaque est peu probable. Découvrez lequel de vos appareils domestiques intelligents est le plus vulnérable.

Comment protéger votre iPhone

Concerné par votre vie privée ? Pour protéger votre iPhone contre les commandes lumineuses, Pargman recommande de l’éloigner des fenêtres et d’éviter de le laisser là où d’autres personnes peuvent y accéder. « Si un laser n’a pas un chemin en ligne droite de l’extérieur vers le microphone, il ne peut pas être utilisé », dit-il. Il en va de même pour d’autres appareils à commande vocale comme Alexa et Google Home.

Les utilisateurs doivent également réfléchir attentivement aux conséquences sur la vie privée de la présence d’un appareil à commande vocale dans la maison, selon Pargman. N’importe qui, des cybercriminels aux visiteurs de la maison en passant par les enfants, peut donner des ordres à un assistant virtuel, alors « soyez intelligent sur la quantité de contrôle que vous leur donnez sur votre sécurité et les choses auxquelles vous tenez », conseille-t-il.

Cela dit, vous pouvez être assuré que la probabilité qu’un laser détourne votre appareil reste faible. « Je pense que les lecteurs ont plus de chances de voir cette technique apparaître dans un film ou un roman d’espionnage que de subir ce type d’attaque », indique M. Pargman. Faites attention à ces signaux d’alarme que quelqu’un espionne votre téléphone – pas besoin de pointeur laser.

Sources :

• LightCommands.com : « Injection audio par laser sur des systèmes contrôlables par la voix »
• The Michigan Engineer News Center : « Des chercheurs prennent le contrôle de Siri, Alexa et Google Home avec des lasers »
• Randy Pargman, directeur principal de Binary Defense
• The Washington Post : « Les pirates peuvent détourner votre iPhone ou votre enceinte intelligente avec un simple pointeur laser – même depuis l’extérieur de votre maison »

.