Avec un seul clic de leur victime sur un lien Amazon, les chercheurs de Check Point parvenaient à pirater des comptes Alexa. Une fois leur attaque réussie, ils pouvaient :
- Dérober les informations stockées sur le compte de l’utilisateur. Par exemple, ils ont eu accès à l’historique des données bancaires, le nom d’utilisateur, le numéro de téléphone, ou encore l’adresse du domicile. Des pirates pourraient revendre ces données ou les exploiter pour lancer d’autres attaques.
- Ajouter et supprimer des « skills » d’Alexa. Les « skills » sont des commandes qui permettent de déclencher toutes sortes d’actions comme « dis-moi la météo ». Il est possible d’en télécharger des centaines sur le site d’Amazon, et tout le monde peut en soumettre un. Un pirate pourrait donc télécharger un « skill » malveillant qu’il a lui-même développé.
- Accéder à l’historique des commandes vocales. Grâce à cette information, le hacker saura comment sa victime utilise son assistant vocal. S’il dit souvent « Alexa, éteins les lumières », alors le pirate pourra attribuer un « skill » malveillant à cette commande.
Grâce à leur manipulation, les chercheurs pouvaient ajouter et supprimer des skills d’Alexa à leur guise, et en arrière-plan. // Source : Capture d’écran Amazon
Bref, grâce à une vulnérabilité et un clic de l’utilisateur, Check Point a trouvé de quoi mettre en place des dizaines de scénarios d’attaque, de l’espionnage au vol de données en passant par des manœuvres de chantage. Il faut dire que plus de 200 millions d’appareils répondent aux commandes de l’assistant vocal d’Amazon et que l’entreprise a pris des mesures pour étendre encore plus le nombre d’appareils compatibles.
Averti par Check Point, Amazon a rapidement réparé le bug, de sorte qu’il est désormais impossible de reproduire l’attaque.
D’une injection de code au déclenchement d’apps malveillantes
À l’origine de l’attaque se trouve une vulnérabilité sur les sous-domaines d’Amazon (des adresses en amazon.com) : ils autorisaient des personnes extérieures modifier les pages en injectant du code HTLM. C’est ce qu’ont fait les chercheurs, ce qui leur a permis de transformer certaines pages en un outil malveillant.
Pour poursuivre son scénario d’attaque, l’équipe de Check Point devait pousser les utilisateurs à visiter cette page : ils ont donc mis en place un email de phishing. Il n’est pas compliqué à rendre convaincant, car les utilisateurs sont habitués à recevoir des emails de promotions de la part d’Amazon. Et puisque le lien de phishing redirige vers une page d’Amazon, il passerait outre les filtres antispam, et la cible de l’attaque n’a pas vraiment de raison de se méfier.
Deux identifiants essentiels sont dérobés
Sauf qu’en cliquant sur le lien, le piège se referme sur elle. « Une fois que la victime a déclenché l’attaque, nous pouvons nous emparer du token de sa session, et du token CSRF », précise à Cyberguerre Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. Il s’agit de deux identifiants uniques, que les chercheurs vont ensuite exploiter pour usurper l’identité de l’utilisateur auprès des serveurs d’Amazon. Grâce à ces informations, ils pourront effectuer toutes sortes d’actions depuis le compte de l’utilisateur. « Une fois que nous contrôlons Alexa, c’est comme si nous contrôlions un ordinateur, et nous pouvons opérer en arrière-plan », ajoute Oded Vanunu
Une attaque, des dizaines de scénarii malveillants
L’attaque est désormais déployée, les éventuels pirates n’ont plus qu’à faire parler leur imagination. Puisqu’ils ont accès à l’historique des commandes Alexa, et peuvent développer un faux « skill » qui téléchargera une application malveillante ou activera une caméra lorsque l’utilisateur demandera la météo.
« Nous pouvons par exemple télécharger un « skill » qui déclenche une caméra quand l’utilisateur demande la météo », projette le dirigeant. Le piratage initial ouvrait donc la porte à des dizaines de scénarii d’attaque. Cette fois, ce sont des chercheurs bienveillants qui ont découvert la faille en premier. La prochaine fois, ce pourrait être des malfaiteurs. Mieux vaut donc régulièrement surveiller l’activité de son compte et de ses appareils pour les utilisateurs d’Alexa, et plus généralement, des assistants connectés.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
