Des scientifiques de l'Université chinoise de Zheijiang ont prouvé qu'il était possible que votre assistant vocal puisse recevoir des ordres par ultrason sans que vous le sachiez.
Ils ont publié un rapport qui démontre comment Siri, Alexa et les autres programmes peuvent être contrôlés à l'aide de commandes inaudibles par ultrason. Il s'agit d'une nouvelle méthode de cyberattaque pour cibler des appareils comme des smartphones, des tablettes ou encore des voitures. Cependant, cette technique est assez limitée et donc peu susceptible d'être réellement dangereuse.
L'utilisation d'ultrasons comme forme discrète de communication numérique est assez courante. Comme l'indique FastCompany, Google Chromecast et Amazon Dash Buttons utilisent tous deux des sons inaudibles pour s'appairer avec votre smartphone. Les annonceurs en tirent également profit en diffusant des codes ultrasoniques dans des publicités télévisées, afin de suivre l'activité d'un utilisateur.
Le déploiement de ces fréquences aiguës pour pirater des assistants vocaux avait déjà été suggéré, mais les nouvelles recherches de Zheijiang fournissent le test le plus complet du concept à ce jour. Pour mener à bien leur expérience, les chercheurs ont d'abord créé un programme pour traduire les commandes vocales normales en fréquences trop élevées pour que les humains puissent les entendre. Ils ont ensuite testé si ces commandes étaient prises en compte par 16 systèmes de contrôle de voix, y compris Siri, Google Now, Samsung S Voice, Cortana, Alexa et un certain nombre d'interfaces pour les voitures. Les chercheurs ont baptisé cette méthode DolphinAttack, car les dauphins utilisent des fréquences élevées pour communiquer entre eux.
Avec DolphinAttack, les chercheurs ont pu délivrer un certain nombre de commandes comme « activer Siri pour lancer un appel FaceTime sur iPhone, activer Google Now pour passer un smartphone en mode avion, ou même manipuler le système de navigation d'une voiture Audi ». Ils suggèrent que cette méthode pourrait être utilisée pour un certain nombre d'attaques malveillantes. Elle permettrait notamment de demander à un périphérique de visiter un site web pour télécharger un virus et lancer des appels téléphoniques pour espionner une victime.
Une méthode trop peu pratique
Les chercheurs ont cependant déclaré que cette méthode était suffisamment intelligente, mais trop peu pratique pour être un danger répandu.
Tout d'abord, pour qu'un appareil puisse répandre une commande vocale par ultrason, le hacker doit être à proximité. Les attaques doivent également avoir lieu dans un environnement plutôt calme. La DolphinAttack ayant demandé à Siri d'allumer le mode avion a été 100 % réussie dans un bureau, à 80 % dans un café et seulement à 30 % dans la rue. Les chercheurs ont également dû acheter un haut-parleur spécial pour diffuser les commandes et noté que les attaques doivent toujours être réglées sur leurs cibles, car les réponses en fréquences des microphones diffèrent selon le fabricant. Par exemple, pour le Nexus 7, les meilleures performances proviennent de commandes émises à 24,1 kHz.
En plus des contraintes environnementales, il convient de rappeler que pratiquement tous les systèmes d'assistants numériques répondent de manière audible. Les chances qu'un pirate informatique contrôle votre téléphone sans que vous le remarquiez sont donc minces. De plus, pour exécuter des commandes importantes comme indiquer à un périphérique de visiter un site web ou envoyer de l'argent à quelqu'un, vous devez généralement déverrouiller votre appareil ou entrer un code de confirmation. Les chercheurs ont également noté qu'il serait assez facile de mettre en oeuvre un correctif. Il est possible de modifier le matériel ou le logiciel pour ignorer les commandes en dehors d'une certaine gamme de fréquences.
DolphinAttack montre comment de nouvelles façons d'interagir avec la technologie introduisent de nouvelles vulnérabilités. Les fabricants d'assistants vocaux voudront certainement examiner ce type de piratage avant que le contrôle d'appareils par ultrason soit réellement une menace.
- Partager l'article :