•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Alexa : une faille permettait aux pirates d’accéder à des informations personnelles

L’enceinte Echo d’Amazon, qui abrite l’assistant à commande vocale « Alexa »

Les enceintes connectées de la gamme Echo, d'Amazon, sont parmi les plus populaires dans le monde.

Photo : AP / Mark Lennihan

Agence France-Presse

Amazon a corrigé une faille importante de son assistant vocal Alexa permettant un accès non autorisé aux informations personnelles des utilisateurs et utilisatrices, a fait savoir la firme de cybersécurité Check Point Research, jeudi.

Nous n’avons connaissance d’aucun cas d’utilisation de cette faille contre notre clientèle ou d’exposition d’informations [à son sujet], a déclaré à l’Agence France-Presse (AFP) une personne porte-parole de l'entreprise Amazon, laquelle a assuré avoir corrigé le problème peu après son signalement.

Nous n’avons aucune information nous permettant de savoir si cette faille précise a été utilisée par des pirates, a expliqué Oded Vanunu, responsable des recherches sur la vulnérabilité des produits pour Check Point, interrogé par l’AFP.

Alexa nous préoccupait depuis déjà un certain temps, étant donné son omniprésence et sa connexion à d’autres dispositifs de l’Internet des objets. Ce sont ces mégaplateformes numériques qui peuvent nous faire le plus de mal, a-t-il mis en garde.

Des informations personnelles en un clic

Dans un communiqué, l’équipe de recherche de Check Point affirme avoir identifié des failles dans certains sous-domaines Amazon et/ou Alexa qui pourraient permettre à un pirate de supprimer et/ou d'installer des compétences sur le compte Alexa de la victime ciblée, et d’accéder à son historique d’échanges vocaux et à ses données personnelles, dont l’historique de ses données bancaires, ses numéros de téléphone et l’adresse de son domicile.

Une compétence Alexa est une application vocale ajoutée aux fonctionnalités d’origine de l’assistant. Ces compétences ont accès aux données personnelles des utilisateurs et utilisatrices et permettent d’interagir avec d’autres objets connectés.

Selon l’équipe de recherche, l’attaque ne nécessitait pour fonctionner que d’un simple clic de la part de l’utilisateur ou l'utilisatrice sur un lien malveillant créé par le pirate. Les pirates pouvaient ensuite profiter d’une interaction vocale avec l’une des compétences installées pour accéder à des informations.

Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire, poursuit Oded Vanunu dans le communiqué.

Selon le cabinet eMarketer, 74,2 millions de gens aux États-Unis étaient équipés d’un assistant vocal en 2019, soit 26 % des internautes. Alexa – qui équipe notamment les enceintes Echo d’Amazon – reste dominant dans ce marché avec 72,9 % d'utilisateurs et utilisatrices, selon la même source, suivi par Google Assistant avec 31,7 % (certaines personnes sont équipées de plusieurs assistants à la fois). Toutefois, Alexa rencontre plus de concurrence en dehors des États-Unis.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !