Alors qu’Amazon a annoncé il y a quelques jours le lancement du programme Alexa BluePrints, un outil permettant de développer ses propres “skills” (ou talents en français) pour Amazon Alexa, des chercheurs en cybersécurité ont démontré qu’il était possible de développer un espion conversationnel intégré au sein de l’assistant vocal.
Si l’on savait déjà qu’Amazon Alexa a la fâcheuse tendance à enregistrer en continu les conversations, Amazon assurait jusqu’alors la protection des données. Or, des chercheurs de l’entreprise spécialisée dans la cybersécurité Checkmarx ont prouvé qu’à partir d’une simple application dédiée à l’assistant vocal, il était possible d’enregistrer et de récupérer les enregistrements des conversations des utilisateurs d’un Amazon Echo, Tap ou encore Echo Dot.
Pour ce faire, les chercheurs ont développé une simple application de calcul, capable de solutionner les problèmes mathématiques à la voix. Ils y ont caché un malware, un élément d’attaque qui contourne l’une des principales fonctions de l’appareil.
Les applications pour Amazon Alexa prises en défaut
Au lieu d’enregistrer une session commençant par la commande vocale et se terminant par son exécution, l’application de calcul intégrée à Amazon Alexa prolonge l’enregistrement. Les chercheurs de CheckMarx ont en fait codé le malware afin qu’il crée une deuxième commande en même temps que la première qui n’indique pas à son utilisateur que le microphone fonctionne toujours par le biais d’un signal sonore. Cette seconde session d’enregistrement se poursuit et le créateur de l’application de calcul peut écouter et récupérer les conversations depuis l’application. Pour cela, l’application doit être configurée pour toute forme de discussion sous forme de texte. Au lieu d’enregistrer des phrases “textes à trou” où le déclencheur de la commande se trouve au milieu, les chercheurs ont réussi à récupérer tous types de textes et donc les conversations.
Un problème déjà réglé par Amazon
En revanche, la diode bleue qui s’enclenche au moment de la commande vocale reste allumée le temps de l’enregistrement. Ce défaut de la cyberattaque peut donc alerter les utilisateurs les plus vigilants d’Amazon Alexa.
Heureusement, CheckMarx a alerté les développeurs d’Amazon Alexa qui ont vraisemblablement réglé le problème. Il fallait pour cela interdire les invites de commandes silencieuses et couper les sessions d’enregistrement anormalement longues.
L’entreprise dirigée par Jeff Bezos, très à cheval sur la sécurité de ses produits et la confiance portée par ses utilisateurs, n’est pourtant pas sans reproche. N’oublions pas que les microphones d’Amazon Echo enregistrent en continu si on ne les coupe pas et que les données sont conservées sur les serveurs de la société. L’entreprise avait déjà partagé les sessions enregistrées avec la police dans le cadre d’une affaire de meurtre.
