En plein essor, les assistants vocaux sont supposés nous faciliter la vie. Pas devenir des mouchards. Et pourtant, les possibilités de détournements malveillants sont bel et bien réelles. Explications.
En 2018, le marché des assistants vocaux générera plus de 56 millions de produits vendus, selon un rapport de l’institut Canalys. Les Siri, Google Assistant, Alexa et autres Cortana, intégrés dans les enceintes intelligentes (Apple HomePod, Google Home, Amazon Echo…), devraient ainsi rapidement devenir omniprésents à la maison comme sur nos smartphones. Une aide précieuse pour se simplifier la vie et gagner du temps, mais aussi un risque en termes de sécurité informatique, compte tenu de l’hyper connectivité de ces objets et de leur faible niveau de protection.
Dans un article sur le site Motherboard, les chercheurs israéliens Tal Be'ery et Amichai Shulman, spécialistes de la cybersécurité, font ce constat amer : « nous avons toujours cette mauvaise habitude d'introduire de nouvelles interfaces dans les machines, sans en analyser complètement les implications sur la sécurité ».
Du détournement publicitaire à l’intrusion par ultrasons
L’actualité récente leur donne raison, avec la révélation de plusieurs cas de failles sécuritaires ou de détournements d’assistants vocaux.
Dès avril 2017, Burger King nourrissait le sujet avec un spot de publicité d’à peine 15 secondes. À l’image, un employé de la chaîne de fast-food se contentait de prononcer « Ok Google, qu'est-ce qu'un burger Whooper ? », activant immédiatement l’assistant vocal chez les téléspectateurs équipés pour lui faire décrire le célèbre sandwich selon Wikipédia.
Coup de pub génial pour certains ; mise en exergue éloquente des risques liés aux assistants vocaux pour beaucoup. Tal Be'ery et Amichai Shulman ont d’ailleurs démontré que le détournement pouvait être bien plus sournois. Les deux chercheurs ont en effet trouvé un moyen de contourner le verrouillage par mot de passe d’un ordinateur sous Windows et ce, en utilisant les commandes vocales de Cortana, l'assistant virtuel intégré à Windows 10. Comment ? En exploitant le fait que cet assistant ne se repose jamais, répondant à certaines commandes vocales même lorsque les appareils sont verrouillés.
If you're using iOS, disable Siri.
If you're using Windows, disable Cortana.
These "assistant" apps are routinely abused to hack in or get around protections. https://t.co/oTGzMAsBYh
— Lorenzo Franceschi-Bicchierai (@lorenzoFB) 6 mars 2018
Plus retors, des chercheurs chinois ont développé une technique baptisée DolphinAttack, consistant à utiliser des commandes par ultrasons inaudibles par l’homme mais détectables par un microphone d'ordinateur. La plupart des assistants vocaux ont ainsi pu être activés à distance.
Autre faille qui n’a pas été du goût d’Apple : le contournement de la fonction de confidentialité qui permet de masquer le contenu des messages apparaissant sur l’écran verrouillé de ses appareils. Là encore, l’assistant vocal, en l’occurrence Siri, fait office de cheval de Troie. Le site web brésilien Mac Magazine a ainsi révélé que n'importe qui pouvait accéder à ces messages cachés en demandant à Siri de les lire à haute voix.
Sensibilisation et chiffrement comme seules parades immédiates
« Étant par principe activés en permanence, les microphones de ces assistants vocaux, notamment via les enceintes connectées, posent évidemment un vrai problème de confidentialité », confirme Paul Fariello, Technical Leader chez Stormshield. Avant de tempérer quelque peu : « mais le risque est faible, quand on sait que bien d’autres techniques classiques comme les ransomwares et le phishing sont bien plus faciles à utiliser pour les cybercriminels. Recourir au chiffrement de ses données sensibles, pour les rendre inexploitables en cas de vol, peut limiter les risques de fuite. »
À ce jour, les constructeurs se contentent pour l’instant de procéder à des corrections au cas par cas, « les parades technologiques à ce genre de problèmes n’existent pas encore, hormis la sensibilisation des utilisateurs, qui a ses limites », précise-t-il. Sur les objets connectés comme les enceintes intelligentes, il est encore impossible d’ajouter des solutions de sécurité additionnelles, de par la conception fermée de ces dispositifs. Face à l’imagination débordante des hackers, la meilleure option semble donc être le Security by design qui incombe aux constructeurs. Après les empreintes digitales, et si les empreintes vocales devenaient le nouveau sésame biométrique, permettant d’authentifier les personnes autorisées à contrôler ces assistants vocaux ?
Ok Google, appelle Stormshield.