Avec plus de 200 millions d’unités vendues dans le monde, Alexa est capable d’interagir par la voix, de définir des alertes, de jouer de la musique et de contrôler des appareils intelligents dans un système de domotique. Les utilisateurs peuvent étendre les capacités d’Alexa en installant des « compétences », qui sont des applications vocales. Cependant, les informations personnelles stockées dans les comptes Alexa des utilisateurs et l’utilisation de l’appareil comme contrôleur de domotique en font une cible attrayante pour les pirates.
Des chercheurs de Check Point ont démontré comment les vulnérabilités qu’ils ont découvert dans certains sous-domaines d’Amazon/Alexa pourraient être exploitées par un pirate, en créant et en envoyant un lien malveillant qui semble provenir d’Amazon à un utilisateur cible. Lorsque l’utilisateur clique sur le lien, le pirate peut alors :
- Accéder aux informations personnelles de la victime, telles que l’historique des données bancaires, les noms d’utilisateur, les numéros de téléphone et l’adresse du domicile
- Extraire l’historique des échanges vocaux de la victime avec son dispositif Alexa
- Installer silencieusement des compétences (applications) sur le compte Alexa de la victime
- Consulter la liste complète des compétences de son compte Alexa de la victime
- Supprimer silencieusement une compétence installée
« Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire, » déclare Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. « Nous avons mené cette étude afin de souligner combien la sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs. Heureusement, Amazon a réagi rapidement à notre communication pour corriger ces vulnérabilités dans les sous-domaines Amazon/Alexa. Nous espérons que les fabricants de dispositifs similaires suivront l’exemple d’Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs. Nous avons effectué auparavant des études sur Tiktok, WhatsApp et Fortnite. Alexa nous préoccupait depuis déjà un certain temps, étant donné son omniprésence et sa connexion à d’autres dispositifs de l’Internet des objets. Ce sont ces méga-plateformes numériques qui peuvent nous faire le plus de mal. Leur niveau de sécurité est donc d’une importance cruciale. »
Amazon a réglé ce problème peu après son signalement.
À propos de Check Point Research
Check Point Research fournit des renseignements sur les cyberattaques aux clients de Check Point Software et à la communauté du renseignement en général. L’équipe de recherche collecte et analyse des données stockées sur ThreatCloud relatives aux cyberattaques se déroulant dans le monde entier, afin de tenir les pirates informatiques à distance, tout en veillant à ce que tous les produits Check Point disposent des dernières protections. L’équipe de recherche comporte plus de 100 analystes et chercheurs qui coopèrent avec d’autres entreprises de sécurité, les forces de police, et différents centres d’alerte et de réaction aux attaques informatiques (CERT).
À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres menaces ciblées avancées. Check Point propose « Infinity Total Protection avec prévention avancée des menaces de 5e génération », une architecture de sécurité à plusieurs niveaux, qui défend les Clouds, les réseaux et les appareils mobiles des entreprises. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.
