Passer au contenu

Les assistants Amazon Echo et Google Home victimes de l’énorme faille Bluetooth

Des millions d’assistants personnels étaient vulnérables à l’attaque BlueBorne qui permet de prendre le contrôle à distance d’un appareil connecté. Heureusement, des correctifs ont déjà été diffusés de façon automatique.

Vous vous souvenez de l’attaque BlueBorne ? Révélée en septembre dernier par les chercheurs de la société Armis, elle permet à des personnes malveillantes de pirater à distance un appareil en utilisant les communications Bluetooth. Elle s’appuie sur une mauvaise implémentation du standard Bluetooth et impacte potentiellement plus de 8 milliards de terminaux, dont beaucoup de smartphones Android et d’appareils sous Linux.

A cette liste se rajoutent désormais les assistants personnels Amazon Echo et Google Home, pour lesquels les chercheurs viennent de publier un rapport complémentaire. Ils ont trouvé deux failles critiques dans l’appareil d’Amazon, permettant d’en prendre le contrôle total à distance. L’impact est moindre pour Google Home, où ils n’ont trouvé qu’une seule faille. Celle-ci ne permet pas de prendre le contrôle de l’appareil mais de créer un déni de service au niveau des communications Bluetooth.  

« Mon nom est Alexa. J’ai été hacké »

Les chercheurs estiment le nombre d’appareils vulnérables respectivement à 15 millions d’Amazon Echo et 5 millions de Google Home. Les entreprises sont également concernées car, selon Armis, 82 % d’entre elles disposent d’un assistant Amazon Echo connecté à leur réseau interne, parfois à leur insu.  

Pour prouver leur trouvaille, les chercheurs ont publié une vidéo de démonstration. On voit l’opérateur lancer son script d’attaque, obtenir les privilèges administrateur sur Amazon Echo et modifier son code. Résultat : à chaque question, l’assistant répond désormais par la phrase « Mon nom est Alexa. J’ai été hacké. Emmenez-moi vers mon maître ».

La bonne nouvelle, c’est que des patches ont d’ores et déjà été diffusés par les deux fournisseurs. Les appareils sont mis à jour automatiquement. Les utilisateurs n’ont donc rien à faire. Dans le monde des objets connectés, une telle réactivité est plutôt une exception. Souvent, les appareils connectés sont difficiles à patcher, si tant est que des patches sont disponibles. D’où l’importance de bien choisir son fournisseur.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN