Des hackers transforment un Amazon Echo en espion

Un groupe de pirates chinois a passé des mois à développer une nouvelle technique pour pirater un Amazon Echo. La compagnie américaine a déjà corrigé les vulnérabilités du dispositif. Wu Huiyu et Qian Wenxiang ont exploité une série de bugs présents au sein de l’Echo de deuxième génération. Ils ont réussi à utiliser le dispositif comme un micro espion, sans que l’utilisateur ne se doute de rien. Les chercheurs ont présenté les résultats de leur travail à la DefCon, une conférence consacrée à la sécurité informatique. Ils ont également informé la firme américaine qui a corrigé le problème lors du correctif déployé en juillet.  

Une attaque difficile à mettre en œuvre

Ils ont démonté leur propre enceinte intelligente, retiré sa puce flash, écrit leur propre firmware, et recollé le processeur à la carte mère. Cet Echo modifié servira à attaquer d’autres appareils. Les chercheurs ont exploité une série de vulnérabilités présentes dans l’interface Alexa sur Amazon.com. Entre autres  les scripts intersites, la redirection d’URL et le déclassement HTTPS.

Placer le dispositif trafiqué sur le même réseau Wi-Fi que la cible est également nécessaire. En exploitant une faille dans la communication entre les Echo, les chercheurs ont réussi à contrôler entièrement l’enceinte cible : lui faire jouer n’importe quel son et surtout, tout enregistrer et transmettre les données aux espions.

Cette présence sur le même réseau limite sérieusement les possibilités d’attaque. Néanmoins, Wu Huiyu et Qian Wenxiang soutiennent que le dispositif trafiqué réussirait à forcer le mot de passe. Une tentative dans un environnement où le code est largement partagé, les hôtels et les écoles par exemple, serait alors plus simple.

>>>   Antivirus : quelle est la meilleure suite de sécurité ?