Alexa, Google Assistant et Siri vulnérables aux attaques par laser

Un groupe de chercheurs a découvert une faille de sécurité qui permet aux hackers de pirater des enceintes intelligentes en pointant un faisceau laser spécialement conçu vers leurs microphones et en les injectant avec des commandes vocales.

Ce qui est intéressant, c’est que la même vulnérabilité peut être utilisée pour compromettre tout ordinateur équipé d’un microphone, ainsi que les smartphones et les tablettes.

L’étude a été réalisée par des chercheurs de l’Université des communications électro de Tokyo et de l’Université du Michigan. La vulnérabilité a été détaillée dans un nouvel article intitulé « Light Commands : Attaques par injection audio basées sur laser sur des systèmes contrôlables par la voix ».

La faille surnommée « Light Commands » utilise principalement des lasers pour manipuler des enceintes intelligentes avec de fausses commandes. Elle peut également être utilisée pour pénétrer d’autres systèmes connectés via une enceinte intelligente, comme une porte d’entrée protégée par une serrure intelligente, des portes de garage connectées, des achats en ligne, la localisation et le démarrage à distance de certains véhicules, et plus encore.

« Light Commands est une vulnérabilité des microphones MEMS qui permet aux attaquants d’injecter à distance des commandes inaudibles et invisibles dans des assistants vocaux, tels que Google Assistant, Amazon Alexa, Facebook Portal et Apple Siri en utilisant la lumière », ont écrit les chercheurs. « Dans notre article, nous démontrons cet effet, en utilisant avec succès la lumière pour injecter des commandes malveillantes dans plusieurs dispositifs contrôlés par la voix tels que des enceintes intelligentes, des tablettes et des téléphones sur de grandes distances et à travers des fenêtres en verre. »

Les microphones MEMS (système microélectromécanique) dans certaines des enceintes intelligentes et smartphones les plus populaires sont si sensibles qu’ils interprètent la lumière vive du laser comme du son.

Les chercheurs ont pu tromper Siri et d’autres assistants IA jusqu’à 360 pieds (110 mètres) de distance simplement en focalisant la lumière laser et même contrôler un appareil dans un bâtiment depuis un clocher à 230 pieds (70 mètres) de distance en dirigeant leur lumière à travers une fenêtre.

En plus des enceintes intelligentes, certains des autres dispositifs testés étaient Amazon Echo, Apple HomePod, iPhone XR, Google Pixel 2, Samsung Galaxy S9, Facebook Portal Mini, etc.

« Les microphones convertissent le son en signaux électriques. La principale découverte derrière les commandes lumineuses est qu’en plus du son, les microphones réagissent également à la lumière dirigée directement vers eux », ont écrit les chercheurs.

« Ainsi, en modulant un signal électrique dans l’intensité d’un faisceau lumineux, les attaquants peuvent tromper les microphones pour produire des signaux électriques comme s’ils recevaient un audio authentique. »

Google, qui est au courant de la recherche, a confirmé qu’il « examine de près cet article de recherche ». La société a ajouté : « Protéger nos utilisateurs est primordial, et nous cherchons toujours des moyens d’améliorer la sécurité de nos dispositifs. »

Bien que la vulnérabilité semble certainement alarmante, ce n’est pas une exploitation facile à réaliser. Cela nécessite une configuration assez sophistiquée, un pointeur laser, un driver laser, un amplificateur de son, un objectif téléobjectif, et plus encore.

Cependant, vous pouvez prendre quelques mesures préventives simples pour éviter de telles attaques en désactivant vos dispositifs lorsqu’ils ne sont pas utilisés, en gardant vos dispositifs hors de vue du faisceau laser, et en mettant en place des mesures de sécurité comme des codes PIN et d’autres exigences d’authentification des utilisateurs sur vos dispositifs lorsque cela est possible.