DolphinAttack est le nom d’une nouvelle attaque qui concerne Siri et les autres assistants personnels, comme Alexa, Google Assistant ou encore Cortana. L’idée est simple : utiliser l’assistant sans que l’utilisateur ne soit au courant grâce à des sons inaudibles pour l’oreille.

Des chercheurs de l’université de Zhejiang en Chine ont découvert un moyen pour utiliser des ultrasons. Les smartphones comme l’iPhone arrivent à les entendre, ce qui n’est pas le cas de l’Homme. Il faut d’abord qu’une personne parle réellement. Un logiciel dédié va ensuite faire le nécessaire pour « convertir » la voix en ultrasons (à plus de 20 000 Hz). Il suffit ensuite d’utiliser l’appareil pour que les assistants comme Siri entendent une requête. Le lot avec les outils nécessaires coûte seulement 3 dollars.

Est-ce grave ? Selon l’usage, la réponse est oui. Une personne mal intentionnée pourrait exemple enregistrer un message demandant d’appeler un numéro surtaxé. Elle pourrait ensuite se rapprocher du smartphone d’un utilisateur pour que son assistant passe l’appel. Un autre cas plus dangereux concerne l’ouverture d’une page Web qui pourrait être infectée avec un malware. Dans cette situation, il faut toutefois que l’iPhone (ou un autre smartphone) soit déverrouillé.

Les chercheurs recommandent à Apple et autres fabricants d’ignorer toutes les commandes qui sont à 20 000 Hz et au-delà. Ainsi, DolphinAttack ne fonctionnerait plus.