Atlantico, c'est qui? c'est quoi ?
Jeudi 20 Septembre 2018 | Créer un compte | Connexion
Extra

Votre smartphone entend des voix et vous feriez bien de vous préoccuper du risque que cela fait peser sur votre sécurité

A l'occasion des fêtes, Atlantico republie les articles marquants de l'année qui s'achève. Côté technologies, 2017 a vu le développement important des technologies de reconnaissance vocale, qui sont maintenant intégrées dans nos smartphones. Pour le meilleur et peut-être pour le pire.

Best of Atlantico 2017

Publié le
Votre smartphone entend des voix et vous feriez bien de vous préoccuper du risque que cela fait peser sur votre sécurité

Article publié initialement le 25 janvier 2017

Atlantico : Les technologies de reconnaissance vocale se sont multipliées ces dernières années. Elles sont apparues avec Siri d'Apple. Toutefois, des chercheurs des Université de Georgetown et Berkeley sont parvenus à créer des signaux sonores qui pouvaient être décryptés par les Smartphones au détriment des commandes initiées par les possesseurs. En quoi est-ce que ces assistants peuvent être une menace pour les propriétaires de ces appareils ? Quels sont les messages qui pourraient provoquer une telle action contre le gré des propriétaires ?

Frank Puget : Il y a d’abord un effet mécanique. Plus vous créez d’ouvertures, qu’elles soient physiques ou logiques, plus vous multipliez les possibilités que l’une ou l’autre ait une faille et permette ou favorise une intrusion. Lorsqu’il y a encore cinq ou six ans vous deviez saisir à la main les commandes que vous vouliez utiliser, il fallait pour être piraté que le hacker ait votre téléphone ou votre ordinateur dans la main ou qu’il l’ait préalablement pollué par un logiciel malicieux. Avec la multiplication des interconnexions entre les machines il existe deux difficultés majeures pour conserver des échanges sécurisés :

Le fait que, structurellement, tous les équipements, provenant souvent de constructeurs différents et ayant des destinations très diverses, travail, loisirs par exemple, ne sont pas sécurisés au même niveau. Un smartphone professionnel fera l’objet de l’attention du DSI et sera configuré de façon à résister à la plupart des agressions. En revanche, une montre interconnectée qui sert d’assistant sportif mais qui dialogue avec le smartphone, lequel synchronisera avec l’ordinateur ou la tablette familiale via la box de la maison, crée des vulnérabilités. C’est le principe du maillon faible dans une chaîne.

Les voies de connexions deviennent elles-mêmes des vecteurs de pénétration et de pollution. Si nous reprenons l’exemple de l’assistant sportif (montre intelligente qui fait podomètre et tachymètre), elle se connecte en Blue Tooth avec le téléphone sur lequel est stockée l’application sportive. Cette connexion n’est pas aussi sécurisée que celle mise en place par le service informatique de l’entreprise qui a peut-être prévu un VPN. Mais, entre les deux machines, rien. Elle est donc vulnérable à une autre connexion de proximité, non autorisée celle-ci, et qui peut permettre une captation ou une intrusion.

Et, dans les deux cas, on a beau être le possesseur d’une machine de combat en termes de smartphone ou de lap top, si on y ajoute un autre appareil n’ayant pas le même niveau de sécurité ou si nous commençons à jouer avec les applications ludiques ou sportives, etc. sans précaution, rien n’est réellement évitable.

Bien entendu, le fait maintenant de simplifier l’usage des assistants personnels grâce à des commandes vocales, va créer, et pour un certain temps encore, d’autres vulnérabilités. Certains services, banques, assurances, service après-vente… mettent à votre disposition des serveurs vocaux. Lorsque vous les sollicitez, ils vous demandent de dicter à haute et intelligible voix les commandes que vous désirez activer. Bien des gens le font sans précaution aucune dans les espaces publics. Et tout y passe, les adresses, les noms, les dates de naissance quand ce ne sont pas les codes eux-mêmes. Ils sont donc accessibles à toute oreille attentive. Au-delà des problématiques purement techniques, il y a une éducation de l’utilisateur qu’il convient de reprendre et d’instaurer ce que nous pourrions qualifier d’hygiène informatique.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Frank Puget

Frank Puget est directeur général de KER-MEUR S.A (Suisse), société d'intelligence économique, cyber sécurité et formation.

Voir la bio en entier

Je m'abonne
à partir de 4,90€