Des chercheurs ont infecté des sites d'Amazon pour pirater Alexa
Avec un seul clic de leur victime sur un lien Amazon, les chercheurs de Check Point parvenaient à pirater des comptes Alexa.
Dérober les informations stockées sur le compte de l'utilisateur. Par exemple, ils ont eu accès à l'historique des données bancaires, le nom d'utilisateur, le numéro de téléphone, ou encore l'adresse du domicile. Des pirates pourraient revendre ces données ou les exploiter pour lancer d'autres attaques.
Ajouter et supprimer des « skills » d'Alexa. Les « skills » sont des commandes qui permettent de déclencher toutes sortes d'actions comme « dis-moi la météo ». Il est possible d'en télécharger des centaines sur le site d'Amazon, et tout le monde peut en soumettre un. Un pirate pourrait donc télécharger un « skill » malveillant qu'il a lui-même développé.
Accéder à l'historique des commandes vocales. Grâce à cette information, le hacker saura comment sa victime utilise son assistant vocal. S'il dit souvent « Alexa, éteins les lumières », alors le pirate pourra attribuer un « skill » malveillant à cette commande.
Bref, grâce à une vulnérabilité et un clic de l'utilisateur, Check Point a trouvé de quoi mettre en place des dizaines de scénarios d'attaque, de l'espionnage au vol de données en passant par des manœuvres de chantage. Il faut dire que plus de 200 millions d'appareils répondent aux commandes de l'assistant vocal d'Amazon et que l'entreprise a pris des mesures pour étendre encore plus le nombre d'appareils compatibles.
Averti par Check Point, Amazon a rapidement réparé le bug, de sorte qu'il est désormais impossible de reproduire l'attaque.
D'une injection de code au déclenchement d'apps malveillantes
À l'origine de l'attaque se trouve une vulnérabilité sur les sous-domaines d'Amazon (des adresses en amazon.com) : ils autorisaient des personnes extérieures modifier les pages en injectant du code HTLM. C'est ce qu'ont fait les chercheurs, ce qui leur a permis de transformer certaines pages en un outil malveillant.
Pour poursuivre son scénario d'attaque, l'équipe de Check Point devait pousser les utilisateurs à visiter cette page : ils ont donc mis en place un email de phishing. Il n'est pas compliqué à rendre convaincant, car les utilisateurs sont habitués à recevoir des emails de promotions de la part d'Amazon. Et puisque le lien de phishing redirige vers une page d'Amazon, il passerait outre les filtres antispam, et la cible de l'attaque n'a pas vraiment de raison de se méfier.
Sauf qu'en cliquant sur le lien, le piège se referme sur elle. « Une fois que la victime a déclenché l'attaque, nous pouvons nous emparer du token de sa session, et du token CSRF », précise à Cyberguerre Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. Il s'agit de deux identifiants uniques, que les chercheurs vont ensuite exploiter pour usurper l'identité de l'utilisateur auprès des serveurs d'Amazon. Grâce à ces informations, ils pourront effectuer toutes sortes d'actions depuis le compte de l'utilisateur. « Une fois que nous contrôlons Alexa, c'est comme si nous contrôlions un ordinateur, et nous pouvons opérer en arrière-plan », ajoute Oded Vanunu
Une attaque, des dizaines de scénarii malveillants
L'attaque est désormais déployée, les éventuels pirates n'ont plus qu'à faire parler leur imagination. Puisqu'ils ont accès à l'historique des commandes Alexa, et peuvent développer un faux « skill » qui téléchargera une application malveillante ou activera une caméra lorsque l'utilisateur demandera la météo.
« Nous pouvons par exemple télécharger un « skill » qui déclenche une caméra quand l'utilisateur demande la météo », projette le dirigeant. Le piratage initial ouvrait donc la porte à des dizaines de scénarii d'attaque. Cette fois, ce sont des chercheurs bienveillants qui ont découvert la faille en premier. La prochaine fois, ce pourrait être des malfaiteurs. Mieux vaut donc régulièrement surveiller l'activité de son compte et de ses appareils pour les utilisateurs d'Alexa, et plus généralement, des assistants connectés.