Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Les enceintes connectées vulnérables à une attaque par laserCrédits : Xebeche/iStock

C’est le résultat d’un travail commun entre des scientifiques des universités du Michigan et de Tokyo. L’attaque est rendue possible par la présence sur les enceintes de micros exploitant des MEMS, des micropuces électromécaniques. Celles-ci peuvent malheureusement interpréter par erreur un signal lumineux comme un son.

L’idée est donc de moduler l’amplitude d’un laser pour transmettre une commande à l’enceinte. Les chercheurs laissent imaginer une utilisation potentielle : un voleur qui aurait accès à une fenêtre donnant sur l’enceinte pourrait lui demander de couper l’alarme et désactiver les caméras.

La technique n’est bien sûr pas sans contrainte, la principale étant d’avoir l’enceinte en ligne de mire, et de pouvoir cibler très précisément le micro qui, selon les modèles, n’est pas si simple à voir. En outre, l’enceinte ne manquera pas de répondre à haute voix à la commande, ce qui pourrait attirer l’attention.

L’attaque ne nécessite en tout cas pas un énorme investissement : 18 dollars de pointeurs laser, 339 de driver laser, 28 pour un amplificateur de son et environ 200 dollars de lentilles. Elle n’est pas non plus limitée aux seules enceintes connectées, puisque de nombreux smartphones et tablettes incorporent des MEMS.

L’iPhone XR et l’iPad 6 se sont ainsi révélés vulnérables. Mais les enceintes connectées représentent un danger largement accru puisqu’elles sont fixes.  Les Google Home et Home Mini, la Nest Cam IQ, plusieurs déclinaisons de l’Amazon Echo et la Portal Mini de Facebook ont ainsi été attaquées avec succès.

Les chercheurs précisent qu’actuellement, aucune attaque de ce genre ne semble avoir été repérée dans la nature, ce qui rassurera les clients de ce type de produit. En outre, l’étude fournit plusieurs pistes d’améliorations, sur la base d’idées simples. Par exemple, s’assurer que les micros sont cachés, ou exiger qu’au moins deux d’entre eux aient capté la commande pour la valider. Après tout, toutes les enceintes en possèdent plusieurs. 

Ils estiment également que chaque assistant (Alexa, Home, Siri…) devrait être accompagné d’une mesure d’authentification pour valider les commandes sensibles, comme tout ce qui touche à un système d’alarme.

À Ars Technica, Amazon et Google ont confirmé qu’une enquête était en cours, en collaboration avec les chercheurs. Apple et Facebook n’ont pas encore réagi. Plusieurs vidéos ont été publiées par les chercheurs pour expliquer le fonctionnement global de leur technique et fournir des démonstrations. Elles sont toujours en anglais.

20 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 06/11/19 à 09:25:28

ça peut être pratique si on a perdu la télécommande de la télé. :D

Avatar de misocard Abonné
Avatar de misocardmisocard- 06/11/19 à 10:07:34

Ok je comprend l'idée, mais la faille de sécurité ce n'est pas d'autoriser l'ouverture de la maison à la voix ?

C'est un peu comme si on me disait que si j'installe un virus avec des droits administrateur je risque d'avoir des soucis avec mon PC ...

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 06/11/19 à 10:13:01

C'est sur que si on a une box servant a la domotique mais qu'on l'active pas il y a moins de soucis.
C'est comme les cartes bancaires, il suffit de les couper en petit morceaux puis les brûlé pour que les failles ne soient pas exploitable.
Perso allumer éteindre l'alarme + caméra à la voix de l’intérieur de la maison je vois pas de soucis.

Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 06/11/19 à 10:14:59

« Par exemple, s’assurer que les micros sont cachés, ou exiger qu’au moins d’entre eux aient capté la commande pour la valider. »
Heu… Combien ? Deux, trois, quatre, dix… ?

Avatar de misocard Abonné
Avatar de misocardmisocard- 06/11/19 à 10:25:46

Oui mais sans mot de passe c'est juste idiot. Si je peux désactiver l'alarme et la caméra à la voix je n'ai qu'a rentrer par effraction et ensuite couper la caméra et l'alarme ...

Ça n'a pas de sens. Il ne devrait pas être possible de désactiver un système de sécurité sans moyen authentification. Et si quelqu'un met en place un système où c'est possible le problème vient de l'utilisateur.

En fait en y réfléchissant le problème du laser viendrait plus pour des objets connectés non-liés à la sécurité.
Par exemple allumer le four quand on est absent

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 06/11/19 à 10:38:20

Perso les solutions de domotiques que j'ai sont en reconnaissance vocal (ca fonctionne pas si c'est pas ma voix. Je ne sais pas si le laser passe cette sécu...

Avatar de Transistance INpactien
Avatar de TransistanceTransistance- 06/11/19 à 10:43:21

J'adore l'article, un vent de panique souffle alors sur la frêle nuque de tous les possesseurs d'enceinte connecté. Sauf que en fait...non.

La vidéo "résumé de la technique" est légèrement mensongère. Avec un petit personnage qui tient un petit pointeur laser dans sa petite main, pouf! Ouverture! Ben non c'est pas si simple.
Déjà il faut veiller à rester parfaitement immobile sous peine de désaligner le laser ou perturber le signal, ensuite il faut manipuler le pointeur monté sur un téléobjectif pas franchement passe-partout non plus comme le montre l'une des vidéo de démo. Et puis utiliser cette méthode de nuit... bonjour la discrétion.

Le mieux c'est qu'un simple brise vue diffusant à 10€ assure une protection efficace contre cette méthode.

C'est un bel exercice de style mais madame michu peut dormir tranquille.

Avatar de Transistance INpactien
Avatar de TransistanceTransistance- 06/11/19 à 10:46:38

latlanh a écrit :

Perso les solutions de domotiques que j'ai sont en reconnaissance vocal (ca fonctionne pas si c'est pas ma voix. Je ne sais pas si le laser passe cette sécu...

C'est pourtant un jeu d'enfant. Le voleur attend que tu te places devant ta fenêtre pour y parler distinctement puis utilise un micro laser pour enregistrer ta voix afin de la copier. :francais:

Avatar de ricozed Abonné
Avatar de ricozedricozed- 06/11/19 à 11:13:19

Il y a fort longtemps dans une galaxie très très lointaine....
 Les enceintes connectées vulnérables à une attaque par laser

 Taaaa taaa tatata taaaaaaaaaa ta, tatata taaaaaaaaaa ta, ta ta tin 

 
:francais:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2