IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les enceintes Amazon Echo éditions 2015 et 2016 peuvent être transformées en dispositifs d’écoute


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 804
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 804
    Points : 50 740
    Points
    50 740
    Par défaut Les enceintes Amazon Echo éditions 2015 et 2016 peuvent être transformées en dispositifs d’écoute
    Les enceintes Amazon Echo éditions 2015 et 2016 peuvent être transformées en dispositifs d’écoute
    Via un accès root à leur OS Linux

    Les enceintes Amazon Echo éditions 2015 et 2016 sont vulnérables à une attaque physique qui permet à un cybercriminel d’obtenir un accès root à leur OS Linux. La firme de sécurité MWR InfoSecurity a montré comment cette faille peut être mise à profit pour transformer ces enceintes en dispositifs d’écoute.

    Les concepteurs des éditions 2015 et& 2016 des enceintes Amazon Echo ont exposé les points de tests de ces dernières. Une connexion aux bornes de communication sérielle UART leur a permis d’espionner le processus de démarrage de l’enceinte et d’arriver à la conclusion qu’il est possible de modifier la séquence de démarrage à partir d’une carte SD. L’usage de cette dernière a par la suite permis d’installer un script malicieux permettant un accès root persistant à l’OS Linux.

    Nom : pinout.png
Affichages : 1956
Taille : 115,2 Ko

    L’accès root acquis, un examen des processus (à partir d’un appareil distant) tournant sur la carte a permis aux chercheurs de la firme de comprendre comment les concepteurs de ces enceintes ont programmé la gestion des médias audio. Ils ont ainsi pu mettre sur pied un script personnalisé permettant d’avoir un accès permanent au microphone de l’enceinte.

    Les enceintes Amazon Echo édition 2017 ne sont pas vulnérables à cette attaque d’après ce que rapportent les chercheurs de la firme. Dans cette édition, les ingénieurs d’Amazon ont empêché la possibilité de lancer une communication SPI entre la carte électronique et une carte SD externe. Les potentiels acquéreurs d’enceintes Amazon devront jeter un œil à la notice d’information livrée avec le produit et prêter une attention particulière à l’année de copyright.

    Nom : copyright 2017.png
Affichages : 1885
Taille : 368,9 Ko

    Comme on peut le voir, le problème majeur que pose cette PoC est que la vulnérabilité est d’abord matérielle. De plus, la mise en œuvre logicielle n’est elle aussi pas à la portée du premier venu. Cet état de choses, semble-t-il, réduit considérablement la possibilité de se faire hacker. Il n’est cependant pas exclu que la personne qui procède au hack ait reçu le nécessaire pour effectuer la connexion à l’enceinte et installer le script d’accès root en un laps de temps. La suite des opérations pourrait alors être conduite à distance par un expert.

    Cette preuve de concept de la firme MWR InfoSecurity vient simplement conforter l’idée que l’on a des dispositifs connectés de nos jours à savoir : une conception qui ne tient pas compte de la sécurité et donc qui jette la vie privée et les données des utilisateurs en pâture aux cybercriminels. Entre les jouets connectés CloudPets qui ouvrent une porte aux données des utilisateurs via MongoDB et les sextoys connectés de la société SVAKOM qui permettent à un intrus d’avoir accès à l’intimité de leur possesseur, les exemples dont il ne sera pas fait mention sont légion. C’est à se demander si le fait de posséder un dispositif connecté n’a finalement pas plus d’inconvénients que d’avantages.

    Source : MWR

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Jouets connectés : le FBI avertit les parents des dangers pour la sécurité et la vie privée de leurs enfants
    IoT : plusieurs marques de caméras sur IP sont vulnérables à des attaques, d'après une publication de la firme de sécurité F-Secure
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 086
    Points
    3 086
    Par défaut Big Brother is watching you
    Oui ça fait beaucoup toutes ces intrusions. Il ne se passe pas un jour sans qu'on apprenne que des appareils connectés sont, en fait, des portes ouvertes sur les données des utilisateurs. On peut alors se demander qui sont ces "cyber crimminels" et à qui le crime profite. Moi je n'en vois qu'un, il s'appelle l'impérialisme américain et ses collecteurs de données s'appellent NSA et CIA.

    Quand on apprend que des entreprises livrent leurs données aux "nuages" on se dit, de nietzschéenne façon, qu'il n'y a pas de victimes innocentes. Vous me direz qu'il y en a bien des tas qui ont voté Macron...
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  3. #3
    Invité
    Invité(e)
    Par défaut
    Un dispositif d'écoute transformable en dispositif d'écoute O_ô

    Pourquoi, y'en a des bons et des mauvais ? se faire fliquer par Amazon/Google est moins nocif sur le long terme ?

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2008
    Messages
    62
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2008
    Messages : 62
    Points : 162
    Points
    162
    Par défaut
    Personnellement, je n'aime pas ce genre de titres accrocheurs du style " l'Amazon Echo est piratable !!".

    Bon après lecture, il faut l'accès au hardware ... Si quelqu'un est entré chez vous, il n'a qu'à poser ses propres micros à l'intérieur de l'Amazon Echo, ça sera 10 000 fois plus simple et c'est ce qui se fait depuis des décennies.

    Il faut un peu relativiser les titres de ce genre d'articles qui vont faire penser à la majorité que l'Amazon Echo a une faille exploitable à distance.

    Pour répondre aux messages précédents, cette faille pourrait être exploitée par d'autres services de renseignement, ce qui fait que vous pourriez être espionné par la NSA et le FSB avec le même appareil lol

    C'est la mondialisation tout ça tout ça.

Discussions similaires

  1. Recherche de doc sur les règles dans l'édition
    Par gmotw dans le forum Eclipse
    Réponses: 0
    Dernier message: 02/04/2008, 18h33
  2. [INFOVIEW]Les champs contenant & s'affiche avec amp derrière
    Par MOMO_LAM dans le forum Launchpad (ex-Infoview)
    Réponses: 4
    Dernier message: 14/12/2007, 12h14
  3. Prob d'interferences dans les enceintes du l'ecran
    Par Ska ra b dans le forum Apple
    Réponses: 2
    Dernier message: 02/03/2007, 16h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo