Alexa, Cortana, Google Assistant, Siri... tous vulnérables ?
ven, 11/05/2018 - 12:19
Retour du serpent de mer... ou plus exactement retour du dauphin. Quand des sons inaudibles aux humais mais pas aux matériels électroniques peuvent déclencher bien des effets indésirables.
Début 2017, est apparue l'idée d'émettre des ultrasons dans des spots publicitaires, afin d'améliorer le ciblage, ou même d'obtenir la véritable identité d'utilisateurs du réseau Tor.
En septembre 2017, des chercheurs chinois ont montré qu'en émettant des signaux audios à une fréquence au delà de 20 kHz, inaudibles pour les humains, il était possible de faire réagir les assistants tels que Alexa, Cortana, Google Assistant et Siri. Les dauphins émettent de tels sons, d'où le nom d'Attaque du Dauphin (Dolphin Attack)
Pourquoi attaque ? Parce que, rappelle CNBC qui relance le polémique, il est possible par ce moyen de déverrouiller des portes, de faire virer de l'argent, de lancer des achats en ligne, etc. simplement en diffusant de la musique à la radio. La limite ne semblant être que celle de l'imagination des attaquants, il y a de quoi craindre le pire.
Si CNBC relance aujourd'hui la polémique, c'est parce que des chercheurs de Berkeley ont montre qu'il est possible d'améliorer considérablement l'attaque du dauphin qui jusqu'ici avait malgré tout des limites. Ainsi, après que des chercheurs ont montré qu'il était possible d'intégrer des commandes dans des bruits blancs de vidéos diffusées sur YouTube, Nicholas Carlini et ses collègues ont montré qu'ils pouvaient superposer des commandes à des sons normaux. Par superposer la commande 'OK Google va sur evil.com' dans la phrase 'Sans l'ensemble des données l'article est inutile'. Ils ont également montré comment intégrer des commandes dans divers fichiers musicaux, dont un extrait de 4 secondes du Requiem de Verdi.
Nous voulions voir sil était possible de rendre de type d'attaques encore plus furtives [...] Je pense qu'il y a déjà des personnes malveillantes qui emploient ce type d'attaques commente Nicholas Carlini, tout en exhortant les éditeurs d'assistants à renforcer la sécurité de leurs dispositifs.
