Un groupe de scientifiques vient de faire la démonstration qu’il est tout à fait possible de contrôler à distance des enceintes connectées (de type Alexa, Siri, Google Assistant)… avec des lasers ! Takeshi Sugawara (de l’Université Electro-Communications à Tokyo), Benjamin Cyr (Université du Michigan), Sara Rampazzi (Michigan), Daniel Genkin (Michigan) et Kevin Fu (Michigan) ont fourni une étude très détailléeLaser-Based Audio Injection Attacks on Voice-Controllable Systems – qui met largement à mal la sécurité des enceintes connectées.

L’étude en question montre principalement que les MEMS des microphones situés dans les enceintes connectées (ou d’autres appareils électroniques) peuvent interpréter la lumière des lasers comme s’il s’agissait de commandes sonores, et ce jusqu’à 110 mètres de distance (même à travers une vitre !). Plusieurs enceintes et appareils connectés (Google Home Mini, Nest Cam IQ, Amazon Echo, etc.), l’iPhone XR et l’iPad 6 ont dont été soumis à un protocole de contrôle à distance via des lasers : les résultats obtenus sont pour le moins inquiétants puisque les chercheurs sont même parvenus à obtenir un code de sécurité (utilisé lors d’achats via la borne Amazon/Alexa par exemple) par la méthode de Force Brute. Etant donné que les enceintes connectées servent de plus en plus souvent de petits HUBs domotiques, les risques vont bien au delà du contrôle à distance du volume sonore (ouverture de porte de garage connectée, augmentation du chauffage, etc.).

Face à ce risque bien réel de hack à distance, les chercheurs préconisent plusieurs solutions possibles : les enceintes connectées pourraient notamment valider les commandes vocales via plusieurs micros, ce qui bloquerait ce type d' »attaque » au laser ciblée sur un seul microphone. Apple n’a pas encore réagi à cette étude.