Siri, Cortana et Google Now sont des produits très populaires et si tout le monde ne connaît pas forcément leur existence, nous sommes de plus en plus nombreux à les utiliser au quotidien. Rien de surprenant à cela compte tenu des nombreux services qu’ils peuvent nous rendre. Oui mais voilà, notre assistant personnel ne serait finalement pas si… personnel. Loin de là, même.
Ces trois assistants sont présents sur pratiquement tous les terminaux nomades du marché. Mieux, Cortana est même présent sur les ordinateurs les plus récents, du moins ceux propulsés par Windows 10.
Cela veut aussi dire que nous sommes presque tous concernés par cette étrange expérience menée par deux chercheurs en sécurité de l’ANSSI.
Siri, Cortana et Google Now sont plus vulnérables que vous le pensez
José Lopes Esteves et Chaouki Kasmi ont effectivement mis au point une technique assez… surprenante. En s’appuyant sur des ondes radio, ils sont effectivement parvenus à dicter des commandes vocales à distance, sans avoir besoin de s’approcher des terminaux visés.
Comment est-ce possible ? En réalité, c’est assez simple puisque les deux compères se sont appuyés sur le kit mains-libres des téléphones pour commettre leur (gentil) méfait.
Je ne sais pas si vous le savez mais ce fameux kit ne sert pas uniquement à contrôler le volume de votre musique. En réalité, il fonctionne aussi comme une antenne et il peut même capter des fréquences comprises entre 80 et 108 MHz.
Ces chiffres ne sont pas de moi, bien sûr, mais de nos deux chercheurs.
A partir de là, il suffit d’enregistrer une commande vocale, de la moduler sur la même onde et de l’envoyer vers les écouteurs pour prendre le contrôles des assistants à distance.
Oui, enfin il y a tout de même une condition à respecter : l’utilisateur doit obligatoirement avoir activé la commande vocale et donc le fameux “Ok Google”, “Dis Siri” ou “Hey Cortana”. Rappelons tout de même que cette option n’est pas activée par défaut sur nos terminaux. Et non.
Alors nous sommes bien d’accord, ce hack n’est pas à la portée de tout le monde, mais il présente tout de même des risques pour l’utilisateur. Des personnes malveillantes pourraient effectivement utiliser cette technique pour accéder au carnet d’adresses, aux messages ou même… ouvrir une page web contenant un script malveillant.
Via