BFM Business

Amazon corrige une vulnérabilité importante dans son assistant vocal Alexa

La vulnérabilité permettait d'accéder à des informations personnelles.

La vulnérabilité permettait d'accéder à des informations personnelles. - Grant HINDSLEY

Une faille repérée sur l'assistant vocal d'Amazon permettait un accès non autorisé aux informations personnelles de ses utilisateurs. Rien ne prouve à ce jour que cette vulnérabilité ait été exploitée.

Le géant américain Amazon a corrigé une vulnérabilité importante de son assistant vocal vedette Alexa permettant un accès non autorisé aux informations personnelles des utilisateurs, a annoncé jeudi une entreprise de cybersécurité.

"Nous n'avons connaissance d'aucun cas d'utilisation de cette vulnérabilité contre nos clients ou d'exposition d'informations sur les clients", a déclaré à l'AFP un porte-parole d'Amazon, qui a assuré avoir corrigé le problème peu après son signalement.

"Nous n'avons aucune information nous permettant de savoir si cette faille spécifique a été utilisée" par des pirates, a expliqué Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point, interrogé par l'AFP.

L'historique des échanges vocaux

"Alexa nous préoccupait depuis déjà un certain temps, étant donné son omniprésence et sa connexion à d'autres dispositifs de l'Internet des objets. Ce sont ces méga-plateformes numériques qui peuvent nous faire le plus de mal", a-t-il mis en garde.

Dans un communiqué, les chercheurs de Check Point Research affirment avoir "identifié des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient permettre à un pirate de supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d'accéder à son historique d'échanges vocaux et à ses données personnelles" (historique des données bancaires, numéros de téléphone et adresse du domicile).

Une "compétence" Alexa est une application vocale ajoutée aux fonctionnalités d'origine de l'assistant. Elles ont accès aux données personnelles des utilisateurs et permettent d'interagir avec les autres objets connectés (lumières, portes, volets...).

Un simple clic

Selon les chercheurs, "l'attaque ne nécessitait pour fonctionner qu'un simple clic de la part de l'utilisateur sur un lien malveillant créé par le pirate" mais provenant des systèmes d'Amazon. Les pirates pouvaient ensuite profiter d'une interaction vocale avec l'une des compétences installées pour accéder à des informations.

"Les haut-parleurs intelligents et les assistants virtuels sont si courants qu'il est facile de négliger la quantité de données personnelles qu'ils détiennent et leur rôle dans le contrôle d'autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d'entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d'autres actions malveillantes à l'insu de leur propriétaire", poursuit Oded Vanunu dans le communiqué.

Selon le cabinet eMarketer, 74,2 millions d'Américains étaient équipés d'un assistant vocal en 2019, soit 26% des internautes. Alexa, qui équipe notamment les enceintes Echo d'Amazon, reste dominant sur ce marché avec 72,9% des utilisateurs selon la même source, suivi par Google Assistant avec 31,7% (certaines personnes sont équipées de plusieurs assistants à la fois), mais rencontre plus de concurrence hors des Etats-Unis.

E.T. avec AFP