Depuis leur lancement, les haut-parleurs intelligents de Google et d’autres fabricants ont fait l’objet d’un examen minutieux en matière de sécurité et de confidentialité. Ceux-ci collectent les conversations et les commandes des utilisateurs, pouvant en entendre plus qu’ils ne le devraient.
Une situation maintenant signalée donne raison à certaines de ces inquiétudes. Les haut-parleurs intelligents de Google pourraient être espionnés et les conversations des utilisateurs entendues, en installant simplement un compte de porte dérobée pour l’attaquant.
Des conversations pourraient être entendues par les assaillants
Bien qu’il s’agisse d’une situation préoccupante, la faille qui est maintenant signalée a déjà été corrigée par Google il y a quelques mois. Il a été initialement signalé en janvier 2021 et plus tard prouvé par l’enquêteur de sécurité qui l’a découvert. Le correctif définitif est intervenu en avril 2021.
D’après ce qui est maintenant révélé, par le chercheur qui a détecté la faille, l’installation d’une porte dérobée par l’attaquant a permis de prendre le contrôle des enregistrements des haut-parleurs intelligents de Google. Cela a transformé ces équipements en espions. La vulnérabilité a été découverte lors de l’évaluation de l’API HTTP locale qui pourrait être utilisée pour capturer le trafic HTTP chiffré via un proxy.
Les haut-parleurs intelligents de Google exposés
Le chercheur a découvert que l’ajout d’un nouvel utilisateur à l’appareil cible est un processus en deux étapes. Demandez simplement le nom de l’équipement, le certificat et le « cloud ID » de votre API locale. Avec ces informations, il a été possible d’envoyer une demande de lien au serveur de Google.
En plus d’écouter les conversations, en ayant ce compte non autorisé sur l’appareil, cela permettait de contrôler d’autres équipements sur le réseau local. Les haut-parleurs intelligents de Google pourraient contrôler les commutateurs intelligents, faire des achats en ligne, déverrouiller les portes et les véhicules à distance ou forcer furtivement le code PIN de l’utilisateur sur les serrures intelligentes.
La sécurité a été compromise par cette grave faille
Le chercheur a également trouvé un moyen d’abuser de la commande « appel [número do telefone] », l’ajoutant à une routine malveillante. Cela activerait le microphone à un moment précis, appellerait votre numéro et enverrait une transmission en direct à partir du microphone.
Comme mentionné précédemment, il s’agit d’une situation qui a déjà été résolue et que Google a traitée immédiatement. Il a créé des mesures qui renforcent la sécurité de ses haut-parleurs intelligents, empêchant que de telles situations ne se reproduisent à l’avenir.
Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :
