Les propriétaires qui ont un dispositif à commande vocale au salon devraient songer à le mettre à l’abri des regards indiscrets. Selon l’article intitulé « Commandes de Lumière : Attaques par injection audio au laser contre les systèmes à commande vocale » publié lundi, des chercheurs au Japon et à l'Université du Michigan ont découvert un moyen de prendre le contrôle des appareils Google Assistant, Alexa d'Amazon, Portal de Facebook ou Siri d'Apple à des centaines de mètres de distance en éclairant leurs microphones à l’aide des pointeurs laser, et même des lampes de poche.Selon les chercheurs, ses appareils présentent une vulnérabilité permettant des attaques qui utilisent de la lumière pour injecter des commandes inaudibles, et parfois invisibles, dans ces dispositifs et les amener à déverrouiller des portes, visiter des sites Web et localiser, déverrouiller et démarrer des véhicules. Ces conclusions sont le fruit de sept mois d’étude des chercheurs en informatique et en génie électrique Takeshi Sugawara de l'Université d'Electro-Communications au Japon et Kevin Fu, Daniel Genkin, Sara Rampazzi et Benjamin Cyr de l'Université du Michigan.
Des rapports ont souvent fait état des intrusions dans les maisons intelligentes par le biais des objets connectés, mais peu de gens auraient parié sur l’utilisation astucieuse de lumière pour tromper la vigilance du matériel sophistiqué et accéder à la vie privée de leurs propriétaires. Les chercheurs ont découvert qu'en changeant l'intensité d'un laser à une fréquence spécifique et en pointant le laser directement sur le microphone d'un haut-parleur intelligent, ils pouvaient faire en sorte que le microphone interprète le laser comme s'il s'agissait d'un son, leur permettant de donner une commande à l'assistant vocal qui alimente l'appareil.
L’injection audio au laser permet aux attaquants d'envoyer les commandes de leur choix à une distance pouvant aller jusqu'à 360 pieds (110 m), selon les tests des chercheurs. Comme les systèmes à commande vocale n'exigent souvent pas que les utilisateurs s'authentifient eux-mêmes, l'attaque peut donc être exécutée sans avoir besoin de mot de passe ou code PIN. Selon les chercheurs, les commandes basées sur la lumière peuvent être envoyées d'un bâtiment à un autre et pénétrer le verre lorsqu'un dispositif vulnérable est maintenu près d'une fenêtre fermée.
Les chercheurs n’ont conduit des tests concluants sur les appareils Google Home, Amazon Alexa, Siri d’Apple et le Portail Mini de Facebook, ainsi que certains smartphones dont un iPhone XR, un iPad sixième génération, un Samsung Galaxy S9, et un Google Pixel 2. Ce qui peut vouloir dire que tous les assistants vocaux peuvent être vulnérables à ce vecteur d'attaque, la nouvelle attaque exploitant une vulnérabilité des microphones qui utilisent des systèmes microélectromécaniques ou MEMS. Voici ci-dessous un aperçu du fonctionnement de Light Commands.
Lors d’une des expériences, les chercheurs ont utilisé un téléobjectif pour focaliser le laser afin d'attaquer avec succès un dispositif à commande vocale à une distance 110 mètres. Avec Light Commands, les chercheurs disent qu’ils auraient pu détourner n'importe quel système numérique intelligent relié aux assistants à commande vocale, y compris les portes intelligentes – l'ouverture d’une porte de garage a été facile, d’après eux –, l’allumage et l’extinction des lumières, des achats en ligne. Ils auraient même pu déverrouiller ou démarrer à distance une voiture connectée à l'appareil, d’après l’article.
Dans un autre test, l’attaque a réussi à injecter une commande à travers une fenêtre de verre à une distance d’environ 71 mètres. Selon le New York Times, dans le cadre de cette expérience, un dispositif à commande vocale a été placé près d'une fenêtre au quatrième étage d'un immeuble, soit à environ 16 mètres au-dessus du sol, le laser de l'attaquant étant placé sur une plateforme à l'intérieur d'un clocher voisin, situé à environ 43 mètres au-dessus du sol. Le laser a ensuite projeté une lumière et a pu contrôler avec succès le Google Home derrière la fenêtre de verre.
Kevin Fu, professeur agrégé de génie électrique et d'informatique à l'Université du Michigan, a déclaré : « Cela ouvre une toute nouvelle catégorie de vulnérabilités ». « C'est difficile de savoir combien de produits sont touchés, car c'est si simple », a-t-il ajouté.
Les limites des attaques « Light Commands »
Cependant, les attaques Light Commands ont plusieurs limites. Premièrement, l'attaquant doit avoir une vue directe sur le dispositif cible. D'autre part, pour que l’attaque réussisse dans de nombreux cas, la lumière doit être dirigée avec précision sur une partie très spécifique du microphone. Toutefois, les chercheurs ont énuméré une installation qui élimine la nécessité de diriger avec précision une lumière sur une partie spécifique d'un microphone. Une autre limite de l’attaque est que les lumières sont faciles à voir par quelqu'un qui est à proximité de l'appareil. De plus, les périphériques répondent généralement par des repères vocaux et visuels lors de l'exécution d'une commande, une fonction qui pourrait alerter une personne à portée de voix et de vue de l'appareil.
Aussi, l'attaque nécessite de l'équipement spécialisé – les chercheurs ont cité quelques-uns dans leur article. Même si les composants des installations nécessaires sont bon marché et peuvent être achetés sur Amazon – tout ce dont un attaquant potentiel pourrait avoir besoin peut coûter moins de 500 $ –, vous aurez toujours besoin d'une certaine expertise technique pour tout assembler et configurer.
Mais malgré ces limites, ces résultats sont importants dans la mesure où la recherche présente un nouveau mode d'attaque contre les systèmes à commande vocale. La recherche met également en évidence les risques qui résultent de l'exécution, sans mot de passe ni code PIN, de commandes sensibles par les appareils à commande vocale et les périphériques auxquels ils se connectent. De plus, la découverte n’est qu’à ses débuts, les chercheurs ne comprenant pas encore parfaitement la physique qui sous-tend leur exploit. Une meilleure compréhension dans les années à venir pourrait déboucher sur des attaques plus efficaces.
Les chercheurs ont déclaré dans leur article : « Nous constatons que les systèmes à commande vocale manquent souvent de mécanismes d'authentification des utilisateurs, ou si ces mécanismes sont présents, ils sont mis en œuvre de façon incorrecte (par exemple, en permettant les attaques par force brute du code PIN) ». « Nous montrons comment un attaquant peut utiliser des commandes vocales à injection de lumière pour déverrouiller la porte d'entrée protégée par un système de verrouillage intelligent, ouvrir les portes de garage, faire le shopping sur des sites Web de commerce électronique aux frais de la cible ou même localiser, déverrouiller et démarrer divers véhicules (par exemple Tesla et Ford) si les véhicules sont connectés au compte Google de la cible ».
Les chercheurs ont dit qu'ils avaient averti Tesla, Ford, Amazon, Apple et Google de la vulnérabilité à la lumière de leurs dispositifs. Les compagnies ont toutes dit qu'elles étudiaient les conclusions du document publié lundi, selon le New York Times. Une porte-parole d'Amazon a, toutefois, déclaré que l'entreprise n'avait entendu parler personne d'autre que les chercheurs qui utilisaient le piratage par commande de lumière, et que ses clients assistants numériques pouvaient compter sur quelques mesures de sécurité simples. D'une part, ils peuvent configurer des codes PIN vocaux pour les achats Alexa ou d'autres demandes sensibles dans des maisons intelligentes. Ils peuvent également utiliser le bouton Mute pour couper l'alimentation des microphones.
Les protections intégrées dans certains dispositifs peuvent faire échouer « Light Commands »
En effet, les assistants de smartphone comme Siri obligent généralement l’utilisateur à déverrouiller son téléphone, ou à écouter une « voix de confiance » avant d'exécuter les commandes. Et certains dispositifs intelligents ne s'activent pas aussi facilement que la porte de garage dans la vidéo – de nombreuses serrures, systèmes d'alarme et systèmes de démarrage à distance des véhicules nécessitent un code PIN vocal avant de fonctionner, pourvu le code PIN soit activé.
Les chercheurs ont suggéré que les vendeurs de haut-parleurs intelligents pourraient mieux prévenir ce type d'attaque en exigeant que les commandes vocales soient entendues à partir de deux microphones ou en ayant un écran léger devant le microphone. Mais il n'est pas certain que les fournisseurs apporteront des mises à jour immédiates pour corriger cette vulnérabilité. Toutefois, ils ont dit qu’ils étudiaient les conclusions des chercheurs. Le rapport ne dit pas clairement si la vulnérabilité avait déjà été exploitée.
M. Genkin a également dit que si vous avez un assistant vocal à la maison, gardez-le hors de la ligne de vue de l'extérieur. « Et ne lui donnez pas accès à quoi que ce soit auquel vous ne voulez pas que quelqu'un d'autre ait accès », a-t-il ajouté.
Sources : Light Commands
Et vous ?
Que pensez-vous des conclusions de cette recherche ? En plus des protections existantes (mot de passe, code PIN, « voix de confiance »), de nouvelles protections sont-elles nécessaires contre cette attaque ?Lire aussi
Les objets connectés sont de plus en plus utilisés pour le harcèlement et l'intrusion dans les maisons, rapporte le NYT en s'appuyant sur des rapports Un chercheur en sécurité développe une attaque permettant de pirater à distance une télévision connectée, et espionner son propriétaire Les vulnérabilités de sécurité dans les robots seraient aussi nombreuses que dans l'IdO, mais avec des conséquences potentielles plus graves IdO : les Français sont peu convaincus par les maisons connectées, une enquête fait l'état des lieux des objets connectés dans l'habitat
Envoyé par CoderInTheDark
