Enceintes connectées (Siri, Alexa, etc.) : la sécurité mise à mal… par des lasers
Un groupe de scientifiques vient de faire la démonstration qu’il est tout à fait possible de contrôler à distance des enceintes connectées (de type Alexa, Siri, Google Assistant)… avec des lasers ! Takeshi Sugawara (de l’Université Electro-Communications à Tokyo), Benjamin Cyr (Université du Michigan), Sara Rampazzi (Michigan), Daniel Genkin (Michigan) et Kevin Fu (Michigan) ont fourni une étude très détaillée – Laser-Based Audio Injection Attacks on Voice-Controllable Systems – qui met largement à mal la sécurité des enceintes connectées.
L’étude en question montre principalement que les MEMS des microphones situés dans les enceintes connectées (ou d’autres appareils électroniques) peuvent interpréter la lumière des lasers comme s’il s’agissait de commandes sonores, et ce jusqu’à 110 mètres de distance (même à travers une vitre !). Plusieurs enceintes et appareils connectés (Google Home Mini, Nest Cam IQ, Amazon Echo, etc.), l’iPhone XR et l’iPad 6 ont dont été soumis à un protocole de contrôle à distance via des lasers : les résultats obtenus sont pour le moins inquiétants puisque les chercheurs sont même parvenus à obtenir un code de sécurité (utilisé lors d’achats via la borne Amazon/Alexa par exemple) par la méthode de Force Brute. Etant donné que les enceintes connectées servent de plus en plus souvent de petits HUBs domotiques, les risques vont bien au delà du contrôle à distance du volume sonore (ouverture de porte de garage connectée, augmentation du chauffage, etc.).
Face à ce risque bien réel de hack à distance, les chercheurs préconisent plusieurs solutions possibles : les enceintes connectées pourraient notamment valider les commandes vocales via plusieurs micros, ce qui bloquerait ce type d' »attaque » au laser ciblée sur un seul microphone. Apple n’a pas encore réagi à cette étude.
Combien de temps en brute force pour entrer ?
Mais il était évident que toutes seraient piratées un jour ou l’autre, déjà qu’elles t’écoutent 24/24… Je n’avais pas besoin d’être conforté dans mon choix de ne pas en avoir… mais si ça peut faire réfléchir ceux qui hésitent !! Parlez plutôt à vos proches qu’à votre enceinte (sans jeu de mot).
Les enceintes google et Apple n’écoutent pas h24 comme tu dis. Elles attendent une emprunte vocale disant « dis Siri » ou « ok google/ hey google » pour commencer un enregistrement audio et faire un envoi de requête sur le serveur. Y’a qu’Alexa qui écoute tout et qui envoie tout. Facile à tester Alexa elle est capable de répondre à « Alexa bonjour » sans faire de pause entre les deux mots alors que les autres non.
Dsl mais Siri fait de même ! Et à mon avais Google ne doit pas s’en priver…. je viens de faire le teste à l’instant 😏
Si elle attendent une empreinte vocale, c’est qu’elles écoutent.
Non la différence c’est qu’Alexia envoie tout le flux audio sur les serveurs alors que google et Apple attendent l’emprunte vocale correspondante (en local) pour ensuite déclencher un enregistrement et envoi de la requête ;)
Aucun problème côté Apple. Car les serrures, portes de garage, alarmes font partie d’une catégorie sécurité qui n’est utilisable que via une validation sur le smartphone. En résumé on peut verrouiller avec Siri mais pas déverrouiller (il faut une empreinte ou un visage sur l’iPhone)
Ce n’est pas le cas des volets par exemple. On peut les ouvrir directement par commande vocale. Mais bon si les volets sont fermés bon courage pour les hacker avec un laser 😅
Essaye de dire “dis Siri” et autre chose tout de suite après ( sans pose) et tu verras qu’il comprend tout sans qu’il est vraiment le temps de s’activer