Amazon a corrigé une vulnérabilité importante de son assistant vocal vedette Alexa permettant un accès non autorisé aux informations personnelles des utilisateurs, a annoncé jeudi l'entreprise de cybersécurité Check Point. Dans un communiqué, les chercheurs affirment avoir « identifié des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient permettre à un pirate de supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles » (historique des données bancaires, numéros de téléphone et adresse du domicile). Une « compétence » Alexa est une application vocale ajoutée aux fonctionnalités d’origine de l’assistant. Elles ont accès aux données personnelles des utilisateurs et permettent d’interagir avec les autres objets connectés (lumières, portes, volets…). Selon les chercheurs, « l’attaque ne nécessitait pour fonctionner qu’un simple clic de la part de l’utilisateur sur un lien malveillant créé par le pirate », mais provenant des systèmes d’Amazon. Les pirates pouvaient ensuite profiter d’une interaction vocale avec l’une des compétences installées pour accéder à des informations.
« Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire », poursuit M. Vanunu dans le communiqué. Selon le cabinet eMarketer, 74,2 millions d’Américains étaient équipés d’un assistant vocal en 2019, soit 26 % des internautes. Alexa, qui équipe notamment les enceintes Echo d’Amazon, reste dominant sur ce marché avec 72,9 % des utilisateurs selon la même source, suivi par Google Assistant avec 31,7 % (certaines personnes sont équipées de plusieurs assistants à la fois), mais rencontre plus de concurrence hors des États-Unis.
« Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire », poursuit M. Vanunu dans le communiqué. Selon le cabinet eMarketer, 74,2 millions d’Américains étaient équipés d’un assistant vocal en 2019, soit 26 % des internautes. Alexa, qui équipe notamment les enceintes Echo d’Amazon, reste dominant sur ce marché avec 72,9 % des utilisateurs selon la même source, suivi par Google Assistant avec 31,7 % (certaines personnes sont équipées de plusieurs assistants à la fois), mais rencontre plus de concurrence hors des États-Unis.
Envoyer une nouvelle à un ami