Attention, une vulnérabilité chez Alexa et Google Home permet aux pirates de vous espionner et de vous hacker !

Les chercheurs en sécurité de SRLabs ont découvert une faille de sécurité chez les haut-parleurs intelligents Alexa et Google Home. En effet, selon ces experts, cette vulnérabilité permettrait aux pirates de vous mettre sur écoute ou même de vous soutirer des informations confidentielles. Pour ce faire, les pirates n’ont qu’à infiltrer un logiciel malveillant dans une compétence pour Alexa ou en une action Google qui paraît inoffensive.

Heureusement, The Verge rapporte que les chercheurs ont averti Google et Amazon de leur découverte avant de l’exposer au public.

Test Amazon Echo : image 9

C’est dans une vidéo parue sur YouTube que l’équipe de SRLabs explique la possible exploitation de cette faille. Dans le cas de Google Home, une action permet à l’utilisateur de demander qu’un nombre aléatoire soit généré, ce que fait le haut-parleur intelligent. Sauf que le logiciel continue de mettre l’utilisateur sur écoute longtemps après avoir exécuté la commande initiale.

Pour Alexa, une compétence qui paraît anodine peut être piratée pour ignorer la commande « stop » donnée par l’utilisateur et Alexa peut ainsi continuer à écouter et enregistrer en silence. Dans leur vidéo, les experts en sécurité montrent comment ces appareils peuvent être manipulés pour donner de faux messages d’erreur puis, une minute plus tard, envoyer un faux message à l’utilisateur pour lui demander son mot de passe.

Google et Amazon ont déjà déployé des mesures correctrices

Informées de l’existence de la faille, les deux firmes ont chacun voulu commenter l’affaire auprès de Ars Technica.

De son côté, Google a expliqué à Ars qu’il disposait de processus de vérification pour détecter ce type de comportement suspect et qu’il avait supprimé les actions créées par les chercheurs en sécurité. Un représentant de la société a également ajouté que Google procédait actuellement à un examen interne de toutes les actions de tiers et avait temporairement suspendu certaines actions en cours.

Quant à Amazon, elle affirme avoir mis en place de nouvelles mesures de prévention pour empêcher et détecter les compétences tendant à pouvoir effectuer ce type de manipulations à l’avenir. Cependant, l’entreprise a également souligné que ce genre de comportement réduisait les compétences d’Alexa.

Quelles mesures de prévention adopter si on possède un Alexa ou un Google Home ?

L’idéal serait de n’utiliser que les logiciels tiers vérifiés et approuvés par Google et Amazon sur vos enceintes intelligentes. Seulement, les entreprises ne vérifient pas systématiquement les mises à jour des applications existantes, ce qui constitue ainsi une brèche pour les pirates d’intégrer des codes malveillants sur ces logiciels, qui vont ensuite infecter les enceintes des utilisateurs.

Le mieux, pour le moment, serait alors d’être extrêmement vigilant dans l’utilisation de ces enceintes intelligentes ou de n’utiliser que les logiciels appartenant aux sociétés qui vous inspirent le plus de confiance.

Mais à notre époque, est-ce qu’il y a ne serait-ce qu’une entreprise fiable à 100% ?