Tout ouïe : Les dangers des assistants vocaux

De nos jours, le proverbe « les murs ont des oreilles » a perdu de son sens métaphorique.
« Le télécran recevait et transmettait simultanément. Il captait tous les sons émis par Winston au-dessus d’un chuchotement très bas… Naturellement, il n’y avait pas moyen de savoir si, à un moment donné, on était surveillé ». George Orwell décrivait un dispositif d’espionnage ininterrompu dans son roman 1984.

Que se passerait-il si Big Brother n’était pas le seul à pouvoir utiliser le télécran, mais que n’importe qui pourrait, rien qu’en ayant les compétences nécessaires ? Et qu’il serait utilisé non pas seulement pour de la propagande politique mais aussi pour afficher des publicités ciblées ? Imaginez que vous vous plaigniez auprès de votre conjoint de votre mal de tête et que vous voyiez immédiatement une publicité pour des médicaments. Il ne s’agit plus d’un complot d’un roman utopique, c’est proche de la réalité. Bon on vous l’accorde, c’est un peu futuriste, mais il est très probable que cela s’avère vrai dans un futur proche.
Nous nous sommes déjà entourés de ces potentiels télécrans, et de leurs nouvelles fonctionnalités, comme les assistants vocaux, pouvant devenir de nouvelles menaces.
Les assistants vocaux tels que Siri d’Apple sont présents sur les smartphones, les tablettes et les ordinateurs portables, ou des appareils fixes tels que les haut-parleurs Amazon Echo ou Google Home. Les consommateurs les utilisent pour allumer et éteindre la musique, voir les prévisions météo, régler la température de la pièce, commander des achats sur Internet, et bien d’autres choses encore.
Ces microphones attentifs peuvent-ils nuire à notre vie ? La première chose qui vient à l’esprit est la fuite des données personnelles et celles des entreprises. Mais il existe un autre danger, qui permet aux cybercriminels de détourner de l’argent facilement. Est-ce que vous prononcez vos numéros de cartes bancaires et des mots de passe ponctuels à haute voix lorsque vous remplissez des formulaires en ligne sur des sites web ?
Les haut-parleurs intelligents peuvent enregistrer des voix y compris dans un environnement bruyant, avec de la musique. Vous n’avez même pas besoin de parler clairement pour être compris. Par expérience, un assistant de Google sur une tablette Android comprend parfois mieux un enfant de trois ans que ses propres parents.
Voici quelques histoires qui sont à la fois drôles et alarmantes. Toutes sont en rapport avec des assistants vocaux ou des appareils intelligents. Les auteurs de science-fiction ont longtemps rêvé des machines dont nous allons parler, et ne s’imaginaient pas qu’un jour elles puissent exister dans la vraie vie.
Rébellion des haut-parleurs
En janvier dernier, la chaine CW6 de San Diego en Californie a présenté un show télévisé intéressant sur les vulnérabilités des haut-parleurs Amazon Echo (équipés de l’assistant virtuel Alexa).
Ce système est incapable de différencier des individus selon leur voix, ce qui fait qu’Alexa suit les ordres de toutes les personnes qui sont autour. Par conséquent, des enfants ont réussi à faire des achats imprévus sur des sites en ligne. Ils ne font pas la différence entre demander un bonbon à leur mère et un jouet à Alexa.
Sur le plateau, le présentateur a fait une démonstration en direct : « J’adore cette fillette qui a dit : Alexa, je veux une maison de poupées ». Les haut-parleurs Amazon Echo des téléspectateurs ont réagi au mot-clé « Alexa » et ont eux aussi commandé automatiquement une maison de poupées, provoquant la colère des habitants de San Diego.
Amazon a promis aux victimes de cette « rébellion » d’annuler leurs commandes gratuitement.
Appareils sous serment
Les appareils qui sont capables d’écouter sont utiles pour les autorités policières, du fait qu’ils peuvent (probablement) répéter tout ce qu’ils ont entendu. Voici une histoire d’une enquête policière qui s’est déroulée en 2015 dans l’Etat de l’Arkansas.
Quatre hommes avaient fait une fête à la maison : match de foot, alcool et jacuzzi, rien d’inhabituel. Le lendemain matin, le propriétaire des lieux avait trouvé le corps sans vie d’un des invités dans le jacuzzi. Il avait vite été soupçonné, puisqu’il était le seul à avoir été sur les lieux au moment du drame, les autres invités étant partis plus tôt.
Les détectives avaient retrouvé un bon nombre d’appareils domestiques : des systèmes d’éclairage et de signalisation, une station météo, et Amazon Echo. La police décida de l’interroger. Les détectives voulaient en effet obtenir des enregistrements vocaux de la nuit du meurtre. Ils demandèrent à Amazon de partager les données mais l’entreprise refusa.
Les développeurs d’Amazon avaient indiqué qu’Echo n’enregistrait pas en permanence des sons, uniquement lorsque l’utilisateur prononçait le mot clé Alexa. Ensuite, l’ordre est enregistré sur le serveur de l’entreprise pour une durée indéterminée. Amazon assure que cela est mis en place pour améliorer le service client, et que les utilisateurs peuvent supprimer manuellement tous les enregistrements dans leurs paramètres de compte.
Les détectives s’en sont alors remis à un autre appareil afin d’obtenir d’autres preuves. Ils ont fait appel à un compteur d’eau intelligent. Tôt le matin, quelques heures après la mort de la victime, une quantité exorbitante d’eau avait été utilisée. Le propriétaire des lieux avait indiqué qu’il dormait au moment du drame. Les investigateurs en avaient déduit que le suspect avait utilisé de l’eau pour éliminer des traces de sang.
Il est important de noter que les indications du compteur d’eau semblaient inexactes. En plus de la quantité d’eau élevée en plein milieu de la nuit, il avait indiqué que la consommation d’eau n’était pas plus élevée que 40 litres par heure le jour de la fête. Le problème c’est qu’on ne remplit pas un jacuzzi à ces taux. L’accusé a accordé une interview au StopSmartMeters.org (un site crée contre les compteurs intelligents) ; dans laquelle il a indiqué qu’à ce moment-là le compteur d’eau était mal réglé.
La cour doit examiner son cas cette année.
Assistants virtuels dans les films
(Attention, spoilers !)
Le grand écran aborde également le sujet des assistants virtuels avec méfiance. Par exemple, dans le film « Passengers », l’androïde-barman Arthur révèle le secret de Jim Preston et terni sa réputation aux yeux de sa partenaire Aurora. Dans le film « Pourquoi lui ? », l’assistant vocal Justine espionne les conversations téléphoniques du personnage principal Ned Fleming et le dénonce.
Une voiture mise sur écoute
Forbes a également fait face à des situations où des appareils électroniques ont été utilisés contre leurs propriétaires.
En 2001, le FBI a obtenu l’autorisation du tribunal du Nevada de demander à ATX Technologies d’intercepter des communications dans une voiture privée. Cette entreprise développe et gère des systèmes de voitures utilitaires permettant aux propriétaires de voitures de demander de l’aide en cas d’accident du trafic.
L’entreprise avait répondu à la demande. Malheureusement, les détails techniques n’avaient pas été publiés, à l’exception de la demande du FBI selon laquelle une telle surveillance devait être effectuée avec « un minimum d’interférence » en qualité des services fournis aux suspects. Il semble tout à fait possible que l’écoute ait été réalisée via la ligne d’urgence, et que le microphone de la voiture ait été activée à distance.
Une histoire similaire s’était produite en 2007 en Louisiane. Un conducteur ou un passager de la voiture avait appuyé accidentellement sur le bouton d’appel d’urgence qui avait appelé le service d’urgence OnStar. L’opérateur avait répondu à l’appel mais ne recevait pas de réponse en retour et l’avait signalé à la police. Il avait ensuite rappelé les victimes et était tombé sur une conversation impliquant un trafic de drogue. L’opérateur avait ensuite fait écouter l’enregistrement à la police qui avait pu localiser la position géographique de la voiture, en l’arrêtant elle l’avait fait la découverte de marijuana à bord du véhicule.
La défense du criminel avait dénoncé le recours illégal de la police, mais la cour avait rejeté cette demande étant donné que ce n’était pas la police qui avait mis la voiture sur écoute. Le suspect avait acheté la voiture d’occasion quelques mois avant l’incident et ne savait pas qu’il y avait un bouton d’appel d’urgence. Au final, il avait été reconnu coupable et condamné.
Comment ne pas se faire enregistrer
Cette année, la CES 2017 Conférence de janvier avait lieu à Las Vegas. La plupart des appareils qui y étaient présentés étaient équipés d’assistants virtuels, des voitures aux réfrigérateurs. Cette tendance créera sûrement un nouveau type de vie privée, sécurité et même des risques pour la sécurité physique.
Chaque développeur devra se rappeler que la sécurité des utilisateurs est une priorité absolue. En ce qui concerne les utilisateurs, nous avons quelques conseils à leur donner pour les protéger des « murs qui ont des oreilles ».

Les haut-parleurs d’Amazon Echo et Google peuvent être mis en mode muet si un utilisateur désactive le microphone avec le bouton correspondant. Ce n’est pas une manière confortable de protéger sa vie privée : les utilisateurs devront toujours se rappeler de « mettre en veilleuse » l’assistant, mais au moins c’est toujours ça de pris.
Les achats via Echo peuvent être complètement interdits et les mots de passe protégés. Vous pouvez le faire dans les paramètres du compte.
La protection antivirus sur les ordinateurs, tablettes et smartphones diminue les risques de n’importe quelle fuite de données et de piratage informatique.
Les utilisateurs d’Amazon Echo qui ont un nom ressemblant à Alexa devraient changer le mot clé. Sinon tout dialogue près de l’appareil peut se transformer en une véritable nuisance.

Ce n’est pas une rue à sens unique
Ok, à présent que vous avez caché la webcam de votre ordinateur portable, dissimulé votre smartphone sous l’oreiller et jeté votre Echo à la poubelle, vous vous sentez plus en sécurité… eh bien figurez-vous que non.  Des chercheurs de l’université de Ben-Gurion (Israël) ont expliqué que même de simples écouteurs peuvent être transformés en microphones.

Les écouteurs et les haut-parleurs possèdent à la base un microphone. Cela signifie que n’importe quel écouteur connecté à un PC peut détecter un son.
Certaines puces audio sont capables de changer la fonction d’un port audio au niveau du logiciel. Ce n’est pas une option secrète, c’est indiqué dans les spécifications de la carte mère.

Par conséquent, des cybercriminels peuvent transformer vos écouteurs en micro caché pour enregistrer secrètement un son et l’envoyer aux serveurs via Internet. Les études sur le terrain l’ont prouvé. De cette manière, on peut enregistrer n’importe quelle conversation qui se produit à des kilomètres de distance, avec un son acceptable, sachant qu’on porte souvent nos écouteurs autour du cou ou qu’on les pose sur une table à proximité.
Pour vous protéger de ce type d’attaque, vous pouvez activer des haut-parleurs actifs à la place d’enceintes et d’écouteurs passifs : ils ont l’amplificateur intégré entre la prise et le haut-parleur qui permet d’arrêter le signal de revenir, du côté de l’entrée.
Source: Kaspersky
Tout ouïe : Les dangers des assistants vocaux