VMF 214 – le blog

Connaissez vous Alexa ? C’est la cousine de Google Home, en fait le service vocal d’Echo : des assistants personnels incarnés dans des objets, des « majordomes » personnels, destinés à vous fournir des services, contrôler votre maison connectée ou passer des commandes de courses ou des achats en ligne. Activables par la voix et comprenant plusieurs langages (le Français pour Google Home, l’allemand et l’anglais pour Echo), ce sont les incarnations physiques d’Amazon et de Google, supposés vous faciliter la vie…

Mais ces nouveaux assistants sont en fait des points de vulnérabilité que vous faites rentrer volontairement dans votre maison. Si un cadre de Google et d’Amazon lit cela, je risque de me faire blacklister, mais franchement, je pense qu’il est utile, notamment pour notre communauté de défense, d’en souligner les menaces.

En premier lieu, ces objets sont des cibles rêvées pour les hackers de tous poils. Par exemple : connaissez vous l’attaque du dauphin ? Son principe est simple et a récemment été révélé par des hackers chinois. En temps normal, si vous désirez des informations sur le sport, la météo, le journal du jour, ou passer une commande d’eau minérale sur Internet, il vous faut simplement demander. L’assistant est équipé de plusieurs micros, qui écoute en permanence l’environnement de la pièce, et ce même quand de la musique est jouée. C’est à la fois un micro et une enceinte connectée, qui analyse en permanence l’environnement et ne répond qu’au son de votre voix.

En théorie néanmoins, car nos amis chinois de l’Université de Zhejiang ont trouvé le moyen d’interagir avec ces assistants sans que vous ne puissiez vous en rendre compte. Il suffit pour cela d’employer des fréquences sonores inaudibles par les êtres humains pour déclencher discrètement les assistants vocaux qui eux, perçoivent ces sons.

En l’espèce, enregistrer une commande à destination de ces assistants (et cela marche aussi avec SIRI, CORTANA,etc…) et la transmettre à une fréquence de 20kHz. Vous ne l’entendrez pas, votre labrador si (mais vous ne le saurez pas) et votre enceinte pourra effectuer la tâche demandée :  transmettre votre agenda, votre répertoire de contact, commander une tonne de papier toilette (!), effectuer un virement  ou modifier les paramètres de sécurité de votre maison connectée.

La vidéo ci-dessous présente le concept, assez rudimentaire puisqu’il ne nécessite…que du matériel que l’on peut acquérir pour 3 dollars !

Au delà des assistants personnels, certains véhicules possèdent des commandes vocales… vulnérables également à l’attaque du dauphin. Sur une Audi Q3, les chercheurs ont ainsi pu changer la destination entrée dans le GPS.

Mais cela ne s’arrête pas là : faire entrer Echo ou Google Home chez vous, c’est aussi prendre le risque de pouvoir être, dans une certaine mesure, espionné. Car qui garantit que la NSA ou la CIA ne sont pas capables d’utiliser ces relais pour pénétrer dans votre domicile ? Certains hackers ont montré qu’en ayant un accès physique à l’objet, il était possible en quelques secondes de transformer ce dernier en un système d’espionnage sans que l’utilisateur ne puisse s’en rendre compte. Certains hôtels « branchés » équipent leurs chambres de tels assistants ; un conseil – surtout si nous faisons le même métier – : désactivez systématiquement ces derniers, car il est impossible de savoir qui a pu y avoir accès.

Rappelons que les documents récemment rendus publics par WikiLeaks montraient que la CIA a exploré différents moyens de transformer une télévision Samsung connectée en un dispositif d’espionnage. Il y a quelques temps, un utilisateur avait ainsi fait le buzz sur internet : il avait demandé à Echo si l’engin travaillait pour la CIA. Il n’a pas obtenu de réponse : l’assistant s’est brusquement éteint ! La vidéo est ci-dessous et vaut le coup d’oeil:

Tout ceci pose le problème de l’hyperconnectivité. Les équipements sont aujourd’hui connectés à tout, en permanence. Ils doivent être considérés comme des systèmes complexes, formant, suivant la formulation d’Aristote, un « tout qui représente plus que la somme de ses parties ». De ce fait, leur vulnérabilité peut avoir des conséquences rapides, lourdes et surtout imprévisibles. Cette hyperconnectivité ne doit pas être considérée comme un phénomène anodin, ou une simple tendance de société, car ce qui se joue aujourd’hui, c’est finalement l’inéluctable intrication des mondes physique et virtuel.

Comme l’a montré le programme STUXNET, un virus informatique peut engendrer des conséquences physiques réelles et dévastatrices – en l’espèce, provoquant le dysfonctionnement de centrifugeuses industrielles destinées au programme nucléaire iranien. L’hyperconnectivité engendre donc l’hyper-vulnérabilité. Alors dans le doute, et surtout si nous faisons le même métier, une élémentaire prudence s’impose.