Une faille d’Alexa offre un accès aux informations personnelles

Amazon Alexa, qui n’est autre que le célèbre assistant vocal du mastodonte de l’e-commerce, a connu une brèche de sécurité conséquente.

Une fois les défaillances de sécurité du DSP des SoC Snapdragon de Qualcomm analysées et décortiquées, les experts en sécurité de Check Point Research sont parvenus à dénicher de grosses failles chez l’assistant numérique Alexa du groupe Amazon, utilisé dans des millions et des millions d’équipements à l’international.

Les professionnels en sécurité informatique de chez CheckPoint Research, affirment que cette faille donnerait la possibilité à un hacker d’avoir accès à l’historique des communications vocales mais également aux informations sensibles de l’utilisateur.

Un accès aux communications vocales et aux données personnelles via Alexa

Alexa, le désormais très réputé assistant vocal du groupe Amazon, a été la victime d’une faille de sécurité conséquente. Les experts en sécurité informatique de la société CheckPoint Research ont rédigé mi-août un écrit où ils disent être parvenus à dénicher d’importantes vulnérabilités. Ces dernières sont situées dans certains sous-domaines Amazon/Alexa qui pourraient offrir la possibilité à un hacker de supprimer ou de procéder à l’installation de compétences sur le compte Alexa de la cible.

Ces failles permettraient à un pirate d’accéder à la totalité de l’historique des échanges vocaux mais également aux données personnelles de la victime telles que par exemple les informations bancaires, l’adresse postale ou encore le numéro de mobile. Les professionnels en sécurité informatique sont sûrs d’eux et affirment que le groupe Amazon ne sauvegarde pas vos identifiants bancaires. Néanmoins, un hacker peut tout à fait avoir accès aux échanges de la cible et obtenir l’historique de ces derniers.

Une vulnérabilité aisément exploitable

Exploiter cette vulnérabilité est assez facile si on se fit à ce que dit CheckPoint Research. Afin de pénétrer dans le système, la cible doit utiliser un lien malveillant présent dans un faux mail du groupe Amazon. Ce dernier redirige par la suite la cible sur une page intégrant du code malveillant. Le pirate n’a plus qu’à transmettre une demande spécifique au magasin de compétences d’Alexa en usurpant l’identité d’un vrai utilisateur.

Quand cela est fait, le pirate peut débuter à supprimer ou à procéder à l’installation de compétences additionnelles. Il peut également avoir accès aux informations personnelles, comme dit un peu plus haut. Pour rappel, sachez qu’une compétence est une application vocale intégrée aux fonctions par défaut d’Alexa.

Il n’y a aucune victime à déplorer

Désormais, les appareils que sont les enceintes connectées ainsi que les assistants virtuels sont si réputés et nombreux qu’il est simple de négliger la quantité de renseignements personnels qu’ils possèdent et leur fonction dans le contrôle d’autres équipements intelligents dans nos habitations.

Or, les hackers les considèrent comme de véritables points d’entrée dans l’existence des personnes, dans le but d’avoir accès à des données sensibles, d’écouter des échanges ou de faire diverses actions malveillantes.

Pour sa part, Amazon a été averti par rapport à souci et a très vite corrigé la brèche, assurant d’ailleurs qu’il n’avait connaissance d’aucun cas d’usage de cette faille contre des clients ou d’exposition de données personnelles sur ces mêmes clients. Pour rappel, il faut savoir qu’il y a environ deux ans, Alexa avait sauvegardé et effectué un partage des échanges d’un couple à leur insu.