Si vous êtes le genre de personne qui éteint Siri et refuse de garder un assistant intelligent dans votre maison par peur d’espionnage, vous êtes sur le point d’être vraiment suffisant. Des chercheurs indépendants Check Point Research ont trouvé un bogue dans Alexa d’Amazon qui aurait pu permettre aux pirates d’accéder aux informations personnelles et à l’historique des conversations.

Le bogue avait le potentiel d’être exploité par des pirates informatiques et leur donnerait accès à l’historique vocal complet d’un utilisateur, ce qui signifie qu’il pourrait accéder à l’ensemble de son historique de conversation avec Alexa, selon le rapport.

Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, dit Wired, «Nous avons découvert une chaîne de vulnérabilités dans la configuration de l’infrastructure d’Alexa qui permet finalement à un attaquant malveillant de recueillir des informations sur les utilisateurs et même d’installer de nouvelles compétences».

Pour ce faire, un pirate informatique devrait créer un lien Amazon malveillant sur lequel une victime peut cliquer, et les failles sous-jacentes des sous-domaines Amazon et Alexa signifient qu’il serait facile pour un attaquant de créer un lien authentique.

Selon la BBC, une fois le lien cliqué, «il serait facile d’obtenir une liste de toutes les« compétences »Alexa installées – ou applications – et de voler un jeton leur permettant d’ajouter ou de supprimer des compétences».

À partir de là, un attaquant peut supprimer une compétence et la remplacer par une compétence malveillante avec la même phrase d’appel – ou phrase de déclenchement – de sorte que la prochaine fois qu’un utilisateur active cette application, il active sans méfiance l’application de l’attaquant.

Check Point a averti que les pirates pouvaient accéder aux informations personnelles d’un utilisateur via son compte Amazon, y compris son adresse personnelle et – potentiellement – ses coordonnées bancaires. Cependant, Amazon a déclaré que cela était peu probable car Alexa n’est pas stockée sur les réponses enregistrées d’Alexa. Ils ont également affirmé que la probabilité que ce bogue soit exploité de manière malveillante était faible, car il existe des systèmes en place pour empêcher les compétences malveillantes d’entrer dans l’Alexa Skill Store, qui sont régulièrement examinées et que toutes les compétences malveillantes trouvées sont systématiquement désactivées.

Un porte-parole d’Amazon a déclaré à Wired: «La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous apportent des problèmes potentiels.

«Nous avons résolu ce problème peu de temps après qu’il a été porté à notre attention, et nous continuons à renforcer nos systèmes.

Nous n’avons connaissance d’aucun cas d’utilisation de cette vulnérabilité contre nos clients ou de divulgation d’informations sur les clients. »

Le bogue a heureusement été corrigé, vous pouvez donc utiliser vos assistants robots en toute tranquillité (pour le moment).



Leave a Reply