Les assistants vocaux sensibles aux attaques au laser


Les enceintes connectées et les assistants vocaux en général ne peuvent être activées qu'à la voix, ce qui les protège du monde extérieur. Cela conduit logiquement les fabricants à adapter leur sécurité en fonction : il est ainsi possible d'effectuer certaines actions sans authentification préalable. Des garde-fous ont été mis en place par certains fabricants pour éviter les attaques les plus simples (hurler « Dis Siri ouvre la porte » à travers la serrure, par exemple, ne fonctionne pas avec le HomePod qui demande par défaut une authentification sur l'iPhone), mais ce n'est pas forcément le cas pour tous, et pour toutes les commandes.

Des chercheurs de l'Université d'électro-communication de Tokyo et de l'Université du Michigan ont découvert une faille majeure dans les systèmes des principaux fabricants que sont Amazon, Google, Apple et Facebook. Ils sont en effet parvenus à tromper les assistants vocaux l'Assistant Google, Alexa, Siri et Portal grâce à de la... lumière. Plus spécifiquement, ils ont exploité une particularité des microphones MEMS qui peuvent interpréter de la lumière comme s'il s'agissait de son. En modulant la fréquence d'un rayon laser pointé sur le microphone d'une enceinte connectée, les chercheurs ont pu déclencher des commandes vocales sur des appareils des quatre fabricants (le HomePod ne fait pas partie de l'étude, mais l'attaque a bien fonctionné sur un iPhone et un iPad). Vous pouvez obtenir plus d'informations techniques sur le site lightcommands.com.


MEMS attaque assistants vocaux

Pour réaliser cette attaque, l'équipement est plutôt simple et l'investissement se limite à quelques centaines de dollars. À condition d'avoir une vue directe sur le microphone visé, la limite de distance est celle du laser ; la démonstration des chercheurs s'est faite avec un éloignement de 110 mètres. Bien que cette méthode n'ait vraisemblablement encore jamais été utilisée par des personnes mal-intentionnées, elle pourrait séduire malgré la contrainte de la vue directe : une telle attaque est discrète si le propriétaire de l'assistant n'est pas présent (l'assistant répond aux commandes à voix haute), et peut permettre de prendre le contrôle d'équipements parfois très sensibles.

Selon les chercheurs, il y a des solutions simples pour que les fabricants puissent éviter que de telles attaques soient possibles : poser des questions d'authentification aléatoires pour déclencher les actions les plus sensibles (un simple code PIN peut être sensible à une attaque par force brute), mettre en place un système utilisant plusieurs microphones pour ignorer tout signal qui ne serait capté que par un seul d'entre eux, ou encore cacher au moins un des microphones de la lumière.




La question de la sécurité des objets connectés revient régulièrement sur le devant de la scène, et cette découverte devrait intéresser les principales entreprises éditant des assistants vocaux. Les chercheurs déclarent travailler avec les fabricants pour les aider à améliorer leurs systèmes. Amazon et Google ont confirmé à Wired s'intéresser de près au sujet, alors que Facebook et Apple n'ont pour le moment pas fait de commentaire sur la question.

Des liens n'apparaissent pas ? Des images sont manquantes ? Votre bloqueur de pub vous joue des tours.
Pour visualiser tout notre contenu, merci de désactiver votre bloqueur de pub !

Retrouvez le HomePod sur notre comparateur de prix.

PARTAGER SUR :

Sur le même sujet

Vos réactions (1)

apfel

5 novembre 2019 à 19:37

C'est ouf.

Réagir
Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Plus loin Connexion
Plus loin Inscription