Posté le novembre 5, 2019 à 14:28
LES HACKERS PEUVENT ENVOYER DES COMMANDES À VOTRE GOOGLE HOME ET AMAZON ECHO VIA DES LASERS
Selon de récentes découvertes faites par des chercheurs en sécurité, les hackers pourraient être en mesure de prendre le contrôle des dispositifs des gens en utilisant un simple tour de passe-passe — en les commandants avec des rayons lasers. Cela est possible grâce à la capacité des appareils intelligents (tels que les haut-parleurs Amazon Echo, les smartphones, Google Homes, ainsi que les appareils de chat vidéo du portail Facebook) à capter les signaux lumineux et à les transformer en son.
Contrôle des appareils via des lasers
Cette astuce a été découverte début 2018 par un chercheur en cybersécurité Takeshi Sugawara. Sugawara a partagé ses connaissances avec le professeur Kevin Fu de l’Université du Michigan. Il a montré comment le fait de diriger un laser très puissant sur le microphone de l’iPad permet à l’appareil de transformer la lumière en un signal électrique produisant un son aigu.
Après six mois de recherche, les chercheurs ont appris à utiliser les lasers pour parler en silence à divers appareils, y compris à tout appareil recevant des commandes vocales. Leurs expériences ont montré que la même méthode peut être utilisée à des centaines de mètres et qu’elle permet de faire des achats en ligne, d’ouvrir des garages et bien plus encore.
L’attaque n’est pas arrêtée par Windows, ce qui signifie que les appareils peuvent même être activés à distance si leur propriétaire n’est pas à la maison pour voir le clignotement des lasers. En termes simples, tout ce qui est muni d’un microphone peut être utilisé à mauvais escient de cette manière, à condition que l’attaquant potentiel sache exactement quelle fréquence utiliser. Les chercheurs affirment qu’il est possible de le faire sans un positionnement particulièrement précis et que, dans certains cas, il suffirait d’inonder le dispositif de lumière.
Les chercheurs ont alors commencé à envisager la possibilité d’ajuster l’intensité des lasers pour qu’ils correspondent à la fréquence d’une voix humaine. Les résultats sont assez inquiétants, car il s’avère qu’il est tout à fait possible de contrôler à peu près toutes les enceintes intelligentes de cette façon, à une distance de 640 mètres environ. Ce n’est peut-être pas la distance maximale à partir de laquelle la méthode fonctionnerait, mais c’est la distance maximale que les chercheurs ont testée au cours de leurs expériences.
Cependant, les résultats indiquent également que les smartphones sont un peu plus difficiles à manipuler de cette façon. Les iPhones, par exemple, n’étaient sensibles à cette méthode qu’à 33 mètres de distance, alors que les appareils Android ne captaient les signaux que si le laser était à une distance de 5 mètres.
Les chercheurs ont également testé le laser régulier de 5 milliwatt, comme les pointeurs laser bon marché pouvant être acquis par n’importe qui. Ils ont essayé de l’utiliser à une trentaine de mètres et, bien que le laser ne fonctionne pas sur la plupart des appareils, il a néanmoins réussi à contrôler Echo Plus et Google Home.
Ce qui est préoccupant, c’est que les commandes vocales seraient complètement silencieuses, et tout ce que le propriétaire des appareils pourrait remarquer, c’est un point bleu clignotant sur son appareil, à condition qu’il soit chez lui et qu’il le voie même. Cela représente un énorme problème de sécurité, car cela pourrait devenir une nouvelle façon complètement furtive de pirater divers appareils. De plus, si les hackers utilisaient un laser infrarouge, l’attaque serait totalement invisible à l’œil nu.
Bien entendu, un assistant virtuel répondrait de manière audible à de telles commandes, comme aux commandes vocales classiques. Toutefois, si le hacker lui demande tout d’abord de réduire le volume à zéro, cet obstacle peut également être contourné.
Comment cela fonctionne-t-il ?
Les chercheurs ont admis qu’ils ne savaient pas comment cela pourrait se produire, bien que leur théorie soit que le laser pourrait produire les vibrations qui rendent possible cette méthode de piratage. La lumière du laser réchaufferait le diaphragme du microphone, ce qui dilaterait légèrement l’air autour de lui, et ferait une pression inaudible, de la même façon que le son le fait.
Une autre théorie est que la lumière pourrait même dépasser le micro, et frapper directement la puce électronique, à partir de laquelle le même processus se produirait. Les chercheurs élaborent actuellement la plupart du temps des théories, mais ils ne disposent pas de suffisamment d’informations pour fournir une réponse définitive. Cependant, le risque d’une mauvaise utilisation de cette méthode est énorme, car elle pourrait prendre le relais des commandes intelligentes de la maison, déverrouiller les portes, modifier les thermostats, etc.
Le porte-parole de Google a commenté les résultats en indiquant que la société examinait actuellement le document de recherche et examinait la faille. Apple a refusé de commenter la découverte, alors que la réponse de Facebook est toujours en attente. En ce qui concerne Amazon, la société a également indiqué qu’elle examinait la recherche et prévoyait de prendre des mesures pour résoudre le problème.
Parallèlement, les chercheurs ont également découvert que certains appareils pourraient offrir une protection contre cette méthode, notamment ceux qui obligent les utilisateurs à prouver leur identité avant de procéder à des achats, tels que les iPad et les iPhones.
En outre, certains assistants vocaux de smartphone requièrent ce que l’on appelle des «mots réveil» avant de commencer à prendre des commandes, ce qui nécessite que le propriétaire prononce les mots eux-mêmes. Cependant, la menace reste sérieuse et les entreprises devront trouver un moyen de résoudre le problème afin de sécuriser les périphériques de ce type d’attaque à l’avenir.