Des chercheurs détaillent un exploit désormais corrigé dans Alexa qui aurait pu exposer votre historique vocal et vos informations personnelles.
Amazon a vendu environ 200 millions d’appareils alimentés par Alexa au cours des cinq dernières années, dont la plupart sont des haut-parleurs intelligents Echo qui peuvent vous aider dans certains aspects de votre vie numérique.
Il y a beaucoup à dire sur la «commodité» que ces haut-parleurs alimentés par Alexa peuvent se permettre, selon à qui vous demandez, mais cela a certainement un coût au niveau de la confidentialité et de la sécurité. Par exemple, Amazon paie des employés pour qu’ils écoutent des extraits de vos enregistrements vocaux afin d’améliorer l’intelligence artificielle derrière Alexa, et même si vous vous désinscrivez, rien ne garantit que les transcriptions existantes seront supprimées.
Robert Fredrick, qui est un ancien cadre d’AWS, a déclaré dans une interview qu’il éteignait toujours son haut-parleur compatible Alexa chaque fois qu’il souhaitait garder ses discussions privées. Et nous avons vu des chercheurs démontrer à quel point il est facile pour certains acteurs malveillants motivés de prendre le contrôle des enceintes connectées avec Alexa, Siri et Google Home à l’aide de lasers, même à des centaines de mètres de distance.
Récemment, un autre groupe de chercheurs de Check Point a identifié un nouvel exploit pour les haut-parleurs alimentés par Alexa d’Amazon qui permettait d’accéder à vos informations personnelles, à votre historique vocal et à tout ce qui est lié à votre compte Amazon.
Cette fois, le point d’attaque est en fait l’application compagnon Alexa. En utilisant un script universel bien connu pour contourner un mécanisme appelé épinglage SSL, les chercheurs ont pu examiner le trafic de l’application. Ce qu’ils ont découvert, c’est que plusieurs bogues dans les services Web d’Alexa pourraient permettre à quelqu’un de rassembler facilement vos informations personnelles et même d’installer de nouvelles compétences Alexa.
L’application Alexa ferait des demandes dans le cadre d’une politique mal configurée qui autorisait les demandes de n’importe quel sous-domaine Amazon. Pour exploiter cette vulnérabilité, il suffit à un attaquant de vous tromper en cliquant sur un lien menant à track.amazon.com, d’utiliser le cookie pour remplacer la propriété de l’application et d’installer son code malveillant. À partir de là, l’attaquant peut faire preuve de beaucoup de créativité et obtenir un accès complet.
La bonne nouvelle est qu’Amazon a corrigé la vulnérabilité dès que l’entreprise en a été informé.
Mais il y a autre chose que vous pouvez faire pour éviter que des exploits similaires n’exposent des choses comme votre historique vocal. C’est aussi simple que de dire « Alexa, supprime tout ce que j’ai dit aujourd’hui ». Vous pouvez également le faire à partir de l’application compagnon Alexa en accédant à Paramètres> Confidentialité Alexa> Consulter l’historique vocal> Supprimer tous les enregistrements pour tout l’historique.
Gardez à l’esprit que cela ne s’applique qu’aux données vocales collectées par Amazon et n’affecte pas les compétences tierces que vous avez installées. Il va sans dire que tant que ces appareils intelligents ne seront pas plus sécurisés, vous feriez mieux de ne pas installer de compétences bancaires ou liées au paiement.