•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Pirater un haut-parleur intelligent en 30 secondes

Le logo de Bluetooth stylisé en plusieurs points de lumière reliés entre eux sur fond noir.

La meilleure chose à faire pour se prémunir contre une attaque exploitant la faille BlueBorne est de désactiver Bluetooth sur ses appareils.

Photo : iStock

Radio-Canada

Les haut-parleurs intelligents Amazon Echo et Google Home étaient jusqu'à tout récemment vulnérables à des attaques informatiques, a annoncé Armis mercredi. Dans une vidéo, la firme de sécurité démontre qu'une trentaine de secondes suffit pour prendre le contrôle de ces appareils.

Ces derniers étaient touchés par un ensemble de vulnérabilités appelées BlueBorne, qui ont été révélées par la même firme en septembre dernier et qui permettaient à des pirates de s’y infiltrer furtivement.

« Ces assistants personnels activés par la voix, qui font partie de l’internet des objets, se joignent à une longue liste d’appareils affectés, écrit Armis sur son site web. Le marché des assistants personnels grandit rapidement, tant à la maison qu’au travail, avec environ 15 millions d’Amazon Echo et 5 millions de Google Home vendus jusqu’ici. »

La démonstration vidéo ci-dessous permet de comprendre le sérieux de la menace. On peut y voir un pirate (à gauche) en train de modifier un fichier d’un Amazon Echo. Pendant ce temps, rien ne permet de deviner que le haut-parleur intelligent est victime d’une attaque.

En septembre, Armis conseillait à la population d’éteindre le service Bluetooth de tous ses appareils, puisque les pirates se servant de BlueBorne exploitaient une faille de ce système de communication pour prendre contrôle des appareils visés. Or, il n’est pas possible d’éteindre Bluetooth sur les haut-parleurs intelligents, puisqu’ils ne bénéficient pas d’une architecture ouverte ni de menus facilement accessibles pour les configurer.

Armis a prévenu Amazon et Google dès la découverte de la vulnérabilité de leurs appareils. Les deux entreprises ont collaboré avec la firme pour préparer une mise à jour pour régler le problème. Les mises à jour ont déjà été appliquées automatiquement aux appareils touchés.

La sécurité de l’internet des objets, un défi de taille

Dans son rapport public sur cette vulnérabilité (Nouvelle fenêtre), Armis souligne que ce cas met en lumière un problème beaucoup plus large : les problèmes de sécurité inhérents à l’internet des objets.

« Contrairement aux mondes des ordinateurs personnels et des téléphones intelligents, où deux ou trois grands systèmes d’exploitation contrôlent la majorité absolue du marché, il n’existe pas d’acteur dominant dans l’industrie de l’internet des objets, peut-on lire sur le site d’Armis. Cela crée un environnement encore plus fragmenté que celui qu’on observe déjà avec les systèmes d’exploitation Android. »

Cette fragmentation constitue un terrain propice au piratage, puisque de nombreux fabricants peinent à émettre des mises à jour pour régler des vulnérabilités. « S’il existe une mise à jour, elle risque de ne pas être appliquée automatiquement ni rapidement ou elle peut être très complexe à appliquer [manuellement]. Trop souvent, aucune mise à jour n’est émise. »

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Prévention et sécurité

Techno