Alexa de nouveau prise en défaut
Des informaticiens américains pointent du doigt les défaillances des skills de l’assistant virtuel d’Amazon, susceptibles de porter atteinte à la vie privée des utilisateurs.
Alexa, est-ce que je peux te faire confiance? La question mériterait d’être posée à l’assistant personnel virtuel d’Amazon. D’autant qu’en 2020, la firme annonçait avoir dépassé les 100 millions d’exemplaires vendus, un chiffre qui englobe à la fois les enceintes connectées et les appareils intégrant l’intelligence artificielle, comme les téléviseurs ou les caméras de surveillance. Problème, depuis le lancement d’Alexa en 2014, des hackers ont identifié plusieurs failles de sécurité susceptibles de compromettre les données personnelles des utilisateurs.
Les failles d’Amazon, une histoire de compétences
Or si la firme de Jeff Bezos affirme avoir promptement corrigé les failles, une étude menée par le département informatique de l’université d’État de Caroline du Nord, aux États-Unis, démontre tout le contraire. Les chercheurs se sont en particulier intéressés aux « skills » de l’assistant personnel, c’est-à-dire des fonctions supplémentaires pour lancer à la voix, par exemple, le dernier épisode de votre série préférée, connaître les horaires des vols Air France, commander un Uber ou encore piloter votre maison connectée. Pour commencer, les informaticiens ont développé un programme permettant d’automatiser le téléchargement des skills à partir des serveurs de sept pays dont la France, puis d’identifier et éliminer les doublons. Grâce à cette méthode, ils ont isolé 90194 applications uniques provenant de 20529 développeurs. Certains sont d’ailleurs bien connus des utilisateurs et, a priori, dignes de confiance. Du moins en apparence. En effet, les chercheurs sont parvenus à publier des skills en les signant eux-mêmes du nom de Microsoft, Withings ou Samsung, et ce sans aucune difficulté! Une seule, signée Philips, a été retoquée, ce qui semble indiquer que le contrôle des identités s’effectue manuellement, et non de façon automatisée. Tout aussi inquiétant, les informaticiens ont découvert que plusieurs skills pouvaient être activés avec un même mot-clé.
Un contrôle rigoureux jusqu’à… validation
Un programme malveillant lancé par mégarde serait donc capable de récupérer des informations confidentielles (adresse mail, numéro de téléphone, etc.), au prétexte d’améliorer le fonctionnement du service auquel l’utilisateur pense être connecté. Attendez, nous diriez-vous, les skills ne sont-ils pas contrôlés par Amazon avant la mise en ligne? C’est le cas, et de façon très rigoureuse jusqu’à… validation! Car aussi effarant que cela puisse paraître, les informaticiens américains sont parvenus à modifier le « backend », la partie du code exécutée par le serveur, plusieurs jours après la mise en ligne de la compétence. Concrètement, la première version du skill permettait de créer un itinéraire de voyage. Mais une fois modifié, celui-ci demandait le numéro de portable de l’utilisateur afin de lui envoyer un SMS récapitulatif. Si, dans ce cas, le changement n’est guère dommageable, ce type de faille autorise des tentatives de fishing à même de tromper les usagers les moins avertis. Dernier point préoccupant, l’étude montre que près d’un quart des skills qui requièrent la communication de données personnelles n’indique pas les conditions de leur utilisation. Une information pourtant obligatoire.