•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Votre Google Home a-t-il révélé votre adresse à un inconnu?

Une enceinte de forme cylindrique bicolore posée sur un comptoir

Le bogue existe au moins depuis le mois de mai, mais Google ne le corrigera pas avant la mi-juillet.

Photo : Reuters / Peter Hobson

Radio-Canada

Un bogue lié aux haut-parleurs intelligents Google Home et aux bornes de transmission Chromecast permet à des pirates de facilement connaître votre position géographique, ont découvert des chercheurs.

Cette information pourrait permettre à des personnes mal intentionnées d’effectuer des attaques d'hameçonnage plus convaincantes ou encore de faire chanter des victimes en les menaçant de les retrouver.

Cette attaque exploite les données que Google conserve sur la position des réseaux wi-fi auxquels ses utilisateurs se connectent. Ces archives de Google comparent la position géographique des utilisateurs des services de l’entreprise à la puissance du signal des réseaux environnants pour établir une carte mondiale des réseaux sans fil.

Cela permet notamment à Google d’offrir un positionnement géographique très précis dans ses applications même lorsque le service de positionnement d’un appareil est désactivé.

Une force qui cache une vulnérabilité

Or, cette particularité peut être exploitée par des pirates pour déterminer la position d’un appareil Google Home ou Chromecast. Pour ce faire, l’attaquant doit attirer sa victime vers un site malveillant et s’assurer qu’elle y reste pendant au moins une minute (en y présentant une vidéo, par exemple).

Pendant ce temps, le pirate peut envoyer une requête à l’appareil visé lui demandant de se localiser. Les appareils Google Home et Chromecast ne requièrent pas d’authentification pour une telle demande si celle-ci provient du même réseau wi-fi auquel ils sont connectés.

Si l’attaque fonctionne, le pirate obtient la position géographique de sa victime sur une carte Google Maps. La position serait précise à quelques mètres près, en particulier dans les zones densément peuplées, rapporte l’auteur et spécialiste en sécurité informatique Brian Krebs sur son blogue (Nouvelle fenêtre).

Google a indiqué à M. Krebs qu’elle allait corriger cette faille à la mi-juillet. L’entreprise avait toutefois d’abord ignoré le rapport du chercheur Craig Young, qui a découvert le problème au mois de mai dernier. Ce n’est que lorsque Brian Krebs a contacté Google en la prévenant qu’il comptait écrire sur le sujet que l’entreprise a changé son fusil d’épaule.

Avec les informations de The Verge, et Engadget

Cybersécurité

Techno