Le hack trop facile des assistants vocaux

On entend presque tous les jours des histoires de systèmes informatiques qui se font pirater. Personne n’est à l’abri, que ce soient la liste des clients d’une entreprise, les systèmes de la NSA ou les périphériques installés dans nos maisons tous sont des victimes potentielles d’intrusions non souhaitées. Les assistants vocaux tels que Alexa, Siri ou Google Home qui sont utilisés par nombre de personnes qui leur confient toutes sortes de données personnelles n’échappent pas à la règle. Ils peuvent également être détournés pour  être utilisés à l’encontre ou à l’insu des propriétaires. de ces systèmes

Alexa fait les courses à votre insu

L’histoire remonte à début janvier 2017. Une petite fille avait envie d’une maison de poupée. Elle s’est donc rapprochée de l’Amazon Echo de sa maison et a simplement passé commande à Alexa. Les parents ont été un peu surpris de voir la livraison d’un achat non souhaité arriver à la maison. L’histoire banale a été reprise lors d’une émission TV afin d’inciter les propriétaires de l’assistant vocal à activer le mot passe pour ne pas revivre cette histoire. L’histoire s’est alors répété lorsque le chroniqueur a prononcé la phrase qu’avait dit la petite fille chez elle, tous les Amazon Echo qui écoutaient l’émission ont commandé la fameuse maison de poupée…

Les assistants écoutent tout. Il le font bien et sans interruption. Ils sont entraînés pour cela. Ils sont là pour comprendre les voix, celles des petites filles comme celles des chroniqueurs…

Siri ouvre la porte à un voisin

L’assistant de Apple n’est pas non plus immunisé contre les écoutes non souhaitées. L’histoire remonte à décembre 2016. Marcus a installé tout plein de périphériques domotiques chez lui en faisant le choix technologique d’installer des objets connectés compatibles avec Homekit, l’écosystème d’Apple . Un Jour, alors qu’il rentrait tranquillement chez lui en voiture et qu’il terminait de se garer dans son allée, son voisin lui a demandé s’il pouvait être dépanné de quelques grammes de farine. Marcus au grand cœur accepta et demanda juste quelques instants pour terminer de se garer. Son voisin facétieux lui a indiqué que ce n’était pas la peine. Il s’est alors tout simplement rapproché de la porte d’entrée, a crié à Siri d’ouvrit la porte d’entrée. La serrure connectée s’est ouverte… grâce à l’iPad laissé actif dans le salon.

Il faut faire attention aux appareils que l’on connecte aux assistants vocaux. Ils ne reconnaissent pas encore la signature vocale de leur maîtres. Si on leur demande de vocaliser des informations n’est pas la même chose que de leur donner des ordres à la voix. La parade proposée par Apple est d’activer le mot de passe interdisant à Siri de se réveiller si l’appareil n’est pas déverrouillé.

Google Home diffuse des pubs de Burger King

Fort au courant des incidents précédents, Burger King a décidé la semaine dernière d’exploiter la capacité d’écoute du Google Home et des téléphones pouvant répondre à la commande “OK Google” pour leur faire diffuser la fin de la publicité. Dans le spot publicitaire diffusé sur les TV ou les tablettes, Un employé de la chaîne de fast food se plaint de n’avoir que très peu de temps pour faire la promotion du Whopper. Il termine donc le spot publicitaire en demandant “Ok Google, quelle est la composition du Whopper”. Les appareils de Google ont donc diffusé la composition du sandwich de Burger King en allant chercher la réponse sur Wikipedia.

La petite blague n’a pas plus à Google qui a modifié les réponses à “ok google” pour ignorer la question. On ne plaisante pas avec la pub. D’aucuns diront surtout si les revenus ne sont pas partagés. Des petits plaisantins ont également été modifier l’article Wikipedia dédié au Whopper afin de rajouter des ingrédients improbables ou cancérigènes…

Que penser du hack des assistants vocaux?

A ce jour, hacker un assistant vocal n’est pas très compliqué puisqu’il suffit qu’il écoute l’ordre à effectuer pour s’exécuter. C’est plus aisé de le faire si l’on est à proximité mais la pub de Burger King et la déconvenue de la commande de la maison de poupée prouve que cela peut également être fait à distance dans certaines conditions. Ce n’est pas la faute des assistants. Ils sont construits pour entendre toutes les voix et pour s’exécuter lorsqu’un ordre est donné. Ils sont entraînés pour cela à nous simplement de ne pas (encore) leur confier les clés de la maison.

Ces histoires soulèvent quelques sérieuses interrogations relatives à la sécurité des systèmes domestiques intelligents lorsqu’ils sont reliés à des assistants vocaux. Les Assistants fonctionnent bien. Peut être trop bien. Ils écoutent tout et sont aujourd’hui construits pour répondre à tous les ordres. Il ne semble pas très raisonnable à ce jour de leur confier la possibilité d’agir sur des parties critiques de la maison ou autres gadgets technologiques pouvant poser des risques majeurs pour la sécurité.

Heureusement, des parades simples peuvent être mises en place par les fabricants. On peut imaginer l’utilisation d’un mot passe à énoncer oralement et que la commande d’achat ou l’ouverture de porte ne se fasse pas automatiquement. On peut également penser à coupler la validation de l’ordre à une détection dans la pièce ou tout du moins à proximité d’une personne de confiance. La reconnaissance de la signature de la voix serait un plus indéniable afin de reconnaître la “voix de son maître”. L’apprentissage de la reconnaissance de la voix devra être faite sans trop entacher l’expérience utilisateur.

Le contrôle vocal offre de nombreuses possibilités passionnantes, mais il reste un territoire nouveau et inexploré a manier avec précaution…

Soyez le premier à commenter

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Prouvez que vous êtes humain: * Time limit is exhausted. Please reload CAPTCHA.