Dotées d’un microphone, les enceintes intelligentes provoquent parfois un malaise chez certains utilisateurs qui se demandent si elles n’enregistrent pas leurs paroles en permanence. Les hackers de Checkmarx viennent de donner du grain à moudre à cette théorie du complot dans le cadre d’Amazon Echo.

Ils ont développé une calculatrice sous la forme d’un « skill », c’est-à-dire une application vocale qui permet d’étendre les fonctionnalités d’Amazon Echo. Il suffit de dire « start calculator » pour y accéder et procéder à des calculs. Jusque-là rien d’anormal. Le hic, c’est que l’application continue d’enregistrer les paroles de l’utilisateur même si celles-ci sont sans aucun rapport avec l’application. Les élocutions sont ensuite transformées en texte et envoyées au développeur du skill. Voici une démonstration vidéo de ce mouchard.

Pour arriver à tel exploit, les hackers ont utilisé une faille dans les paramètres de l’interface de programmation d’Amazon Echo. Normalement, un skill est censé se désactiver automatiquement au bout d’un certain temps, quand il n’est plus utilisé. Mais au moyen d’une configuration bien précise, ils arrivent à rallonger ce délai à l’infini.

Toutefois, et c’est quand même rassurant, cette écoute ne passe pas totalement inaperçu : l’utilisateur peut se rendre compte qu’il y a problème grâce au cercle lumineux qui s’allume automatiquement quand l’enceinte attend une commande. Par ailleurs, Amazon a depuis procédé à un correctif au niveau de son interface de programmation. Ce hack n’est donc plus faisable. On est rassuré. Les détails techniques de cette recherche sont disponible sous forme d’un document PDF.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original