SAN FRANCISCO – Depuis leur introduction il y a quelques années, les experts en sécurité ont regretté que les assistants numériques à commande vocale tels que Siri d’Apple et Alexa d’Amazon constituaient une menace pour la vie privée et puissent être facilement piratés.

Mais le risque présenté par une lumière astucieusement pointée n’a probablement été envisagé par personne.

Des chercheurs au Japon et à l’Université du Michigan ont déclaré lundi avoir trouvé un moyen de prendre le contrôle de Google Home, d’Alexa d’Amazon ou de Siri d’Apple en faisant briller des pointeurs laser et même des lampes de poche aux microphones de ces appareils.

Dans un cas, ils ont déclaré avoir ouvert une porte de garage en projetant un faisceau laser sur un assistant vocal connecté à celle-ci. Ils ont également grimpé sur un clocher de l'Université du Michigan à un mètre cinquante et ont réussi à contrôler un appareil Google Home au quatrième étage d'un immeuble de bureaux situé à 230 pieds. Et en focalisant leurs lasers à l'aide d'un téléobjectif, ils ont affirmé avoir été en mesure de détourner un assistant vocal à plus de 100 mètres.

Ouvrir la porte du garage était facile, ont déclaré les chercheurs. Avec les commandes light, les chercheurs auraient pu détourner n'importe quel système intelligent numérique relié aux assistants à commande vocale.

Ils ont dit qu'ils auraient pu facilement allumer et éteindre les commutateurs d'éclairage, faire des achats en ligne ou ouvrir une porte d'entrée protégée par une serrure intelligente. Ils auraient même pu déverrouiller à distance ou démarrer une voiture connectée à l'appareil.

"Cela ouvre une classe entièrement nouvelle de vulnérabilités", a déclaré Kevin Fu, professeur agrégé de génie électrique et d'informatique à l'Université du Michigan. "Il est difficile de savoir combien de produits sont affectés car cela est si fondamental."

Les chercheurs en informatique et en génie électrique – Takeshi Sugawara de l'Université d'électro-communication au Japon; et M. Fu, Daniel Genkin, Sara Rampazzi et Benjamin Cyr de l’Université du Michigan – prévoyaient de publier leur conclusions dans un document lundi.

M. Genkin a également été l’un des chercheurs responsables de la découverte de deux failles majeures de sécurité, baptisées Meltdown et Specter, dans les microprocesseurs de presque tous les ordinateurs du monde l’an dernier. Les actions du fabricant de puces Intel ont brièvement perdu 5% à l'annonce de leur découverte.

Les chercheurs, qui ont étudié le défaut de lumière pendant sept mois, ont déclaré avoir découvert que les microphones des appareils réagissaient à la lumière comme si elle était saine. À l'intérieur de chaque microphone se trouve une petite plaque appelée un diaphragme qui bouge lorsque le son le frappe.

Ce mouvement peut être reproduit en focalisant un laser ou une lampe de poche sur le diaphragme, ce qui le convertit en signaux électriques, ont-ils déclaré. Le reste du système réagit alors comme il le ferait.

Les chercheurs ont déclaré avoir informé Tesla, Ford, Amazon, Apple et Google de cette vulnérabilité. Les sociétés ont toutes déclaré qu’elles étudiaient les conclusions du document publié lundi.

Les chercheurs ont déclaré que la plupart des microphones devraient être repensés pour remédier au problème. Et recouvrir simplement le microphone avec un morceau de ruban adhésif ne résoudrait pas le problème. M. Fu a déclaré que les microphones de plusieurs assistants numériques avaient des boucliers anti-poussière qui ne bloquaient pas leurs commandes..

Les chercheurs en sécurité révèlent depuis longtemps des vulnérabilités étonnantes dans les appareils connectés à Internet. Les experts ont souvent averti que si ces faiblesses pouvaient être surprenantes, elles constituaient souvent les pires scénarios qui ne pourraient être exploités que dans les circonstances les plus rares. Et rien n'indique clairement que la vulnérabilité à la lumière exposée lundi a été utilisée par des pirates.

Ce n'est pas la première découverte d'une vulnérabilité surprenante chez les assistants numériques. Des chercheurs en Chine et aux États-Unis ont démontré qu’ils pouvaient envoyer des commandes cachées qui sont indétectables à l'oreille humaine.

Les chercheurs ont toutefois déclaré que cette découverte rappelait aux consommateurs de rester vigilants en matière de sécurité.

"Ceci est la pointe de l'iceberg", a déclaré M. Fu. «Il y a un grand fossé entre ce que les ordinateurs sont supposés faire et ce qu'ils font réellement. Avec l'internet des objets, ils peuvent adopter des comportements non annoncés, et ce n'est qu'un exemple.

Une porte-parole d'Amazon a déclaré que la société n'avait jamais entendu parler de personne utilisant des outils légers, et a ajouté que ses clients assistants numériques peuvent compter sur quelques mesures de sécurité simples. D'une part, ils peuvent configurer des codes PIN vocaux pour Alexa Shopping ou d'autres demandes sensibles de maison intelligente. Ils peuvent également utiliser le bouton muet pour couper l’alimentation des microphones.

Il existe également une solution logique à la vulnérabilité à la lumière: si vous avez un assistant vocal chez vous, gardez-le à l'abri des regards de l'extérieur, a déclaré M. Genkin. "Et ne lui donnez pas accès à quelque chose auquel vous ne voulez pas que quelqu'un d'autre ait accès", a-t-il ajouté.

Source

www.nytimes.com