Siri, Alexa et Google Assistant peuvent être contrôlés par des commandes inaudibles
Des chercheurs révèlent que les assistants vocaux comme Siri, Alexa et Google Assistant peuvent être contrôlés par des commandes inaudibles qui peuvent conduire à des attaques malveillantes.
Les assistants vocaux, en particulier ceux qui sont dans des enceintes intelligentes, doivent toujours être à l’écoute. Il n’y a pas d’autre moyen de les avoir prêts à répondre à vos questions ou à obéir à vos ordres à tout moment, que vous ayez ou non une phrase de déclenchement pour cela. Malheureusement, cela signifie également qu’ils recevront et entendront toujours tous les sons pour intercepter les commandes. Le problème, selon les chercheurs, est que ces assistants intelligents pourraient même suivre les commandes que vous pourriez ne pas être en mesure d’entendre.
Le document rédigé par deux chercheurs de l’université de Californie à Berkeley, Nicholas Carlini et David Wagner, est le dernier d’une série de documents de recherches et de démonstrations prouvant l’efficacité de ces types d’attaques «subliminales» sur des haut-parleurs intelligents et d’autres appareils avec toujours des assistants intelligents à l’écoute. La théorie est simple à comprendre vraiment. Presque tous ces dispositifs sont conçus pour recevoir et analyser de l’audio, y compris les commandes vocales, sur une large gamme de fréquences, y compris les fréquences inaudibles à l’oreille humaine. En d’autres termes, quelqu’un pourrait « jouer » une commande pratiquement silencieuse qui pourrait amener l’assistant intelligent à faire des choses que l’utilisateur ne lui a jamais demandé.
Cette méthode baptisée « DolphinAttack » a été mise en pratique l’année dernière lorsque des chercheurs chinois ont créé un appareil à partir de pièces détachées afin d’envoyer des commandes inaudibles à des assistants virtuels. Leur prototype était grossier et nécessitait une étroite proximité avec le téléphone ou l’enceinte cible. Depuis lors, cependant, de plus en plus de chercheurs ont amélioré cette méthode et ont même été en mesure d’en faire une qui fonctionnait même à plus de 7,6 mètres de distance. Les deux chercheurs de l’université de Californi ont créé une méthode encore plus ingénieuse. Ils ont intégré les commandes dans un son normal, comme dans une voix enregistrée ou même de la musique.
Les fabricants des assistants intelligents ont naturellement défendu comment leurs IA respectifs ne peuvent pas être si facilement exploités. Amazon et Google s’assurent que c’est la voix de l’utilisateur qui donne la commande avant d’agir sur eux. Apple, d’autre part, limite les actions que Siri peut faire par la voix et nécessite que les iPhone et les iPad soient déverrouillés en premier pour certains d’entre eux.
Néanmoins, le nombre croissant d’articles sur ce sujet devrait être une source de préoccupation. Carlini espère que les documents de son équipe devraient servir d’avertissement pour les utilisateurs et les fabricants de logiciels et craint que les pirates aient déjà une longueur d’avance.