+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 236
    Points : 7 564
    Points
    7 564

    Par défaut Les enceintes Amazon Echo éditions 2015 et 2016 peuvent être transformées en dispositifs d’écoute

    Les enceintes Amazon Echo éditions 2015 et 2016 peuvent être transformées en dispositifs d’écoute
    Via un accès root à leur OS Linux

    Les enceintes Amazon Echo éditions 2015 et 2016 sont vulnérables à une attaque physique qui permet à un cybercriminel d’obtenir un accès root à leur OS Linux. La firme de sécurité MWR InfoSecurity a montré comment cette faille peut être mise à profit pour transformer ces enceintes en dispositifs d’écoute.

    Les concepteurs des éditions 2015 et& 2016 des enceintes Amazon Echo ont exposé les points de tests de ces dernières. Une connexion aux bornes de communication sérielle UART leur a permis d’espionner le processus de démarrage de l’enceinte et d’arriver à la conclusion qu’il est possible de modifier la séquence de démarrage à partir d’une carte SD. L’usage de cette dernière a par la suite permis d’installer un script malicieux permettant un accès root persistant à l’OS Linux.

    Nom : pinout.png
Affichages : 1475
Taille : 115,2 Ko

    L’accès root acquis, un examen des processus (à partir d’un appareil distant) tournant sur la carte a permis aux chercheurs de la firme de comprendre comment les concepteurs de ces enceintes ont programmé la gestion des médias audio. Ils ont ainsi pu mettre sur pied un script personnalisé permettant d’avoir un accès permanent au microphone de l’enceinte.

    Les enceintes Amazon Echo édition 2017 ne sont pas vulnérables à cette attaque d’après ce que rapportent les chercheurs de la firme. Dans cette édition, les ingénieurs d’Amazon ont empêché la possibilité de lancer une communication SPI entre la carte électronique et une carte SD externe. Les potentiels acquéreurs d’enceintes Amazon devront jeter un œil à la notice d’information livrée avec le produit et prêter une attention particulière à l’année de copyright.

    Nom : copyright 2017.png
Affichages : 1423
Taille : 368,9 Ko

    Comme on peut le voir, le problème majeur que pose cette PoC est que la vulnérabilité est d’abord matérielle. De plus, la mise en œuvre logicielle n’est elle aussi pas à la portée du premier venu. Cet état de choses, semble-t-il, réduit considérablement la possibilité de se faire hacker. Il n’est cependant pas exclu que la personne qui procède au hack ait reçu le nécessaire pour effectuer la connexion à l’enceinte et installer le script d’accès root en un laps de temps. La suite des opérations pourrait alors être conduite à distance par un expert.

    Cette preuve de concept de la firme MWR InfoSecurity vient simplement conforter l’idée que l’on a des dispositifs connectés de nos jours à savoir : une conception qui ne tient pas compte de la sécurité et donc qui jette la vie privée et les données des utilisateurs en pâture aux cybercriminels. Entre les jouets connectés CloudPets qui ouvrent une porte aux données des utilisateurs via MongoDB et les sextoys connectés de la société SVAKOM qui permettent à un intrus d’avoir accès à l’intimité de leur possesseur, les exemples dont il ne sera pas fait mention sont légion. C’est à se demander si le fait de posséder un dispositif connecté n’a finalement pas plus d’inconvénients que d’avantages.

    Source : MWR

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Jouets connectés : le FBI avertit les parents des dangers pour la sécurité et la vie privée de leurs enfants
    IoT : plusieurs marques de caméras sur IP sont vulnérables à des attaques, d'après une publication de la firme de sécurité F-Secure
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    941
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 941
    Points : 2 264
    Points
    2 264

    Par défaut Big Brother is watching you

    Oui ça fait beaucoup toutes ces intrusions. Il ne se passe pas un jour sans qu'on apprenne que des appareils connectés sont, en fait, des portes ouvertes sur les données des utilisateurs. On peut alors se demander qui sont ces "cyber crimminels" et à qui le crime profite. Moi je n'en vois qu'un, il s'appelle l'impérialisme américain et ses collecteurs de données s'appellent NSA et CIA.

    Quand on apprend que des entreprises livrent leurs données aux "nuages" on se dit, de nietzschéenne façon, qu'il n'y a pas de victimes innocentes. Vous me direz qu'il y en a bien des tas qui ont voté Macron...
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  3. #3
    Membre du Club
    Femme Profil pro
    Urbaniste
    Inscrit en
    juillet 2017
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Urbaniste
    Secteur : Alimentation

    Informations forums :
    Inscription : juillet 2017
    Messages : 20
    Points : 48
    Points
    48

    Par défaut

    Un dispositif d'écoute transformable en dispositif d'écoute O_ô

    Pourquoi, y'en a des bons et des mauvais ? se faire fliquer par Amazon/Google est moins nocif sur le long terme ?

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    juillet 2008
    Messages
    57
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2008
    Messages : 57
    Points : 135
    Points
    135

    Par défaut

    Personnellement, je n'aime pas ce genre de titres accrocheurs du style " l'Amazon Echo est piratable !!".

    Bon après lecture, il faut l'accès au hardware ... Si quelqu'un est entré chez vous, il n'a qu'à poser ses propres micros à l'intérieur de l'Amazon Echo, ça sera 10 000 fois plus simple et c'est ce qui se fait depuis des décennies.

    Il faut un peu relativiser les titres de ce genre d'articles qui vont faire penser à la majorité que l'Amazon Echo a une faille exploitable à distance.

    Pour répondre aux messages précédents, cette faille pourrait être exploitée par d'autres services de renseignement, ce qui fait que vous pourriez être espionné par la NSA et le FSB avec le même appareil lol

    C'est la mondialisation tout ça tout ça.

Discussions similaires

  1. Recherche de doc sur les règles dans l'édition
    Par gmotw dans le forum Eclipse
    Réponses: 0
    Dernier message: 02/04/2008, 17h33
  2. [INFOVIEW]Les champs contenant & s'affiche avec amp derrière
    Par MOMO_LAM dans le forum Launchpad (ex-Infoview)
    Réponses: 4
    Dernier message: 14/12/2007, 11h14
  3. Prob d'interferences dans les enceintes du l'ecran
    Par Ska ra b dans le forum Apple
    Réponses: 2
    Dernier message: 02/03/2007, 15h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo