Une faille de sécurité dans les assistants vocaux populaires permet de mener des attaques
Une faille de sécurité dans les assistants vocaux populaires permet de mener des attaques
par l’envoi de commandes vocales inaudibles
Les systèmes de reconnaissance vocale comme Siri, Cortana ou Alexa sont de plus en plus répandus et pour certains analystes seront dans les années à venir au centre de l’interaction entre les consommateurs et leurs appareils et dispositifs électroniques. Un ingénieur de Microsoft a même prédit que les assistants personnels comme Cortana pourraient à terme remplacer les claviers. Mais comme toute technologie, il est difficile dans les débuts d’identifier tous les risques qui l’accompagnent ; lesquels sont toutefois mieux perçus au fil du temps.
Dans une étude, des chercheurs de l’université du Zhejiang, en Chine, attirent l’attention des constructeurs sur une faille de sécurité qui affecterait tous les assistants vocaux du marché. Ils ont en effet montré qu’il est possible de transmettre des commandes vocales à des fins malveillantes à ces dispositifs à l’insu du propriétaire. Leur attaque, baptisée DolphinAttack, consiste à envoyer des commandes vocales ultrasoniques aux systèmes de reconnaissance vocale.
Situées entre 20 kHz et 10 MHz, les fréquences des ultrasons sont trop élevées pour être perçues par l'oreille humaine. Si elles sont donc inaudibles pour les humains, elles sont parfaitement captées par les microphones des appareils électroniques, donc par les assistants vocaux. Le concept de l'attaque a été validé via des preuves de concept sur les systèmes populaires de reconnaissance vocale, y compris Siri, Google Now, Samsung S Voice, Huawei HiVoice, Cortana et Alexa. Les chercheurs ont par exemple été capables d'activer Siri pour lancer un appel FaceTime sur iPhone. Ils ont pu également activer Google Now pour basculer le téléphone en mode avion, et même manipuler le système de navigation dans une voiture de marque Audi.
On pourrait penser que l'exploitation de cette attaque est d'une portée limitée, mais peut-être pas tellement si l'on prend en compte le fait que ces assistants vocaux sont très utilisés sur smartphones, et existent également sur ordinateurs : le cas de Windows 10 avec Cortana. La technique peut donc être utilisée pour faire ouvrir à un smartphone ou un ordinateur une page Web contenant un logiciel malveillant. Cela permet donc de mener une attaque sans avoir physiquement accès à l'appareil.
En plus, ces commandes vocales ultrasoniques peuvent être cachées dans des médias et applications. En mai dernier, on rapportait déjà que des centaines d'applications Android utilisent de l'ultrason pour le suivi inter périphérique des utilisateurs. Les signaux ultrasons peuvent aussi être diffusés par le biais des annonces télévisées. En outre, les chercheurs notent que le procédé ne nécessite pas non plus de matériel hors de prix : juste quelques composants coûtant quelques euros suffisent pour émettre ces ultrasons.
Pour protéger les systèmes à commande vocale de ce genre d'attaques, les chercheurs proposent des solutions de défense matérielle et logicielle. La première consiste à améliorer les microphones. Ils affirment que le problème se pose parce que les microphones peuvent détecter des sons acoustiques avec une fréquence supérieure à 20 kHz alors qu'un microphone idéal ne devrait pas. Ainsi, les microphones doivent être améliorés et conçus de sorte à filtrer tous les signaux acoustiques dont les fréquences sont dans la gamme des ultrasons.
En ce qui concerne la solution logicielle, les chercheurs ont montré qu'il est possible de détecter DolphinAttack en faisant une classification des audios en utilisant les machines à vecteur de support (SVM), un ensemble de techniques d'apprentissage supervisé destinées à résoudre des problèmes de classification et de régression.
Source : Rapport de l’étude
Et vous ?
Qu’en pensez-vous ?
Répondre avec citation
Partager