Amazon : Alexa pouvait être trompé pour espionner les utilisateurs

Les chercheurs en sécurité disent avoir trouvé un moyen de faire en sorte que l’assistant numérique Alexa d’Amazon écoute indéfiniment ses utilisateurs, et fournisse une transcription de tout ce qui est dit face à l’appareil. Les chercheurs de la société de cybersécurité Checkmarx ont pu créé une compétence Alexa – une application pour l’assistant à commande vocale – capable d’écouter les utilisateurs.

 

« Nous avons analysé tout le processus de communication d’Alexa avec l’utilisateur et avons essayé de prendre le point de vue du pirate et de voir comment nous pouvions tirer parti de quelque chose qui pourrait sembler bénin, qui pourrait ne pas sembler risqué mais crée du risque  » a expliqué Amit Ashbel, évangéliste de la cybersécurité à Checkmarx, à ZDNet.

Les chercheurs ont donc créé qui semblait être une simple compétence de calculatrice pour résoudre des problèmes de maths. Mais le système était conçu en réalité pour envoyer des transcriptions de tout ce qui est dit à portée de voix de l’appareil aux auteurs de l’application.

Le service Alexa est conçu pour être à l’écoute lorsque l’utilisateur demande à l’appareil d’écouter. Le cycle actif est censé être relativement court, Alexa informant l’utilisateur lorsqu’une session ouverte est fermée et lorsqu’il se met en veille. Les chercheurs ont décidé d’examiner si la façon dont Alexa écoute de cette manière là pouvait être exploitée. « Comme Alexa écoute parfois, nous voulions voir si nous pouvions faire en sorte que le système écoute tout le temps et envoie des données sensibles » a déclaré à ZDNet Erez Yalon, responsable de la recherche sur la sécurité des applications chez Checkmarx.

Une problème dans l’API

Une fois qu’Alexa a effectué une tâche, le code fait une requête ‘ShouldEndSession’, afin de déterminer si la session reste ouverte ou fermée après qu’Alexa ait relu le texte. Cela permet ainsi à Alexa de rester actif pour une autre session. Et pour rester actif pour une autre session, Alexa envoie une invite vocale à l’utilisateur, l’informant qu’il est toujours actif.

Cependant, les chercheurs ont constaté que l’API d’Alexa accepte un code de repromptage vide, permettant à l’invite vocale de se taire. Cela signifie que même si Alexa pense avoir informé l’utilisateur que l’appareil est toujours en train d’écouter, l’utilisateur ne sait pas que c’est le cas. La lumière bleue sur l’enceinte connecté Echo indique toutefois que l’appareil est toujours actif. Mais il est possible que les utilisateurs ne s’en aperçoivent pas ou ne regardent tout simplement pas l’appareil.

« Nous avons réalisé que le reprompt peut être un flux vide. Alors Alexa sera calme entre les différents cycles, ce qui signifie que alors aussi que nous avons réalisé une session sans fin sans réponse à l’utilisateur » explique Erez Yalon.

Amazon a bouché le trou

Avec la possibilité d’espionner indéfiniment l’utilisateur, les chercheurs ont ajouté des instructions supplémentaires pour demander à l’appareil de transcrire tous les mots prononcés face à lui. « Vous pensez que la session est terminée, mais en réalité elle continue tout le temps, en enregistrant vos mots et en envoyant votre transcription au hacker. Il n’y a pas de limite à la durée de la session, le nombre de mots ou de phrases, ça continue jusqu’à ce que vous l’éteigniez » mentionne Erez Yalon. « Ce n’est pas un problème d’utilisation incorrecte. Nous n’avons pas vraiment changé quoi que ce soit, nous n’avons pas vraiment cassé quoi que ce soit, nous avons juste utilisé la conception imparfaite du système. »

Checkmarx a montré les résultats de ses recherches à Amazon, qui a déclaré à ZDNet avoir agi pour s’assurer que les compétences de la machine ne puissent plus être exploitées de cette manière. « La confiance des clients est importante pour nous et nous prenons la sécurité et la confidentialité au sérieux, nous avons mis en place des mesures d’atténuation pour détecter ce type de comportement et rejeter ou supprimer ces compétences lorsque nous le faisons » a déclaré un porte-parole.

La liste complète des mesures d’atténuation n’a pas été divulguée, mais Erez Yalon a déclaré à ZDNet: « Ils détectent maintenant les cycles silencieux et ne les autorisent plus. Donc entre chaque itération, Alexa doit faire un contrôle pour que l’utilisateur sache qu’il y a une session ouverte ».

Grand pouvoir, grande responsabilité

« Il détecte maintenant les sessions plus longues que d’habitude et prévient les utilisateurs. C’est peut être comme cela qu’ils ont diminué le risque de futures attaques » a t-il ajouté. Néanmoins, si un grand fabricant comme Amazon peut accidentellement laisser des failles qui peuvent être exploitées dans ses produits IoT, il il s’agit d’une alarme « pour les fabricants d’IoT » dit Erez Yalon. Et ce d’autant plus que de nombreux produits IoT sont conçus et livrés sans grande attention particulière portée à la sécurité.

« Il n’y a pas encore de réglementation standard pour l’IoT, mais avec un grand pouvoir, il y a une grande responsabilité et les gens doivent faire des efforts supplémentaires dans la conception de la sécurité » affirme t-il.

Go to Source


bouton-devis