Passer au contenu

Les assistants Amazon Echo et Google Home victimes de l’énorme faille Bluetooth

Des millions d’assistants personnels étaient vulnérables à l’attaque BlueBorne qui permet de prendre le contrôle à distance d’un appareil connecté. Heureusement, des correctifs ont déjà été diffusés de façon automatique.

Vous vous souvenez de l’attaque BlueBorne ? Révélée en septembre dernier par les chercheurs de la société Armis, elle permet à des personnes malveillantes de pirater à distance un appareil en utilisant les communications Bluetooth. Elle s’appuie sur une mauvaise implémentation du standard Bluetooth et impacte potentiellement plus de 8 milliards de terminaux, dont beaucoup de smartphones Android et d’appareils sous Linux.

A cette liste se rajoutent désormais les assistants personnels Amazon Echo et Google Home, pour lesquels les chercheurs viennent de publier un rapport complémentaire. Ils ont trouvé deux failles critiques dans l’appareil d’Amazon, permettant d’en prendre le contrôle total à distance. L’impact est moindre pour Google Home, où ils n’ont trouvé qu’une seule faille. Celle-ci ne permet pas de prendre le contrôle de l’appareil mais de créer un déni de service au niveau des communications Bluetooth.  

« Mon nom est Alexa. J’ai été hacké »

Les chercheurs estiment le nombre d’appareils vulnérables respectivement à 15 millions d’Amazon Echo et 5 millions de Google Home. Les entreprises sont également concernées car, selon Armis, 82 % d’entre elles disposent d’un assistant Amazon Echo connecté à leur réseau interne, parfois à leur insu.  

Pour prouver leur trouvaille, les chercheurs ont publié une vidéo de démonstration. On voit l’opérateur lancer son script d’attaque, obtenir les privilèges administrateur sur Amazon Echo et modifier son code. Résultat : à chaque question, l’assistant répond désormais par la phrase « Mon nom est Alexa. J’ai été hacké. Emmenez-moi vers mon maître ».

S'abonner à 01net

La bonne nouvelle, c’est que des patches ont d’ores et déjà été diffusés par les deux fournisseurs. Les appareils sont mis à jour automatiquement. Les utilisateurs n’ont donc rien à faire. Dans le monde des objets connectés, une telle réactivité est plutôt une exception. Souvent, les appareils connectés sont difficiles à patcher, si tant est que des patches sont disponibles. D’où l’importance de bien choisir son fournisseur.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Altstore
AltStore, première boutique alternative à l’App Store sur iPhone, est disponible
Une caméra de surveillance
Match PSG/OL, concert Black Eyed Peas… Voici ce que l’on sait du système de vidéosurveillance augmentée (VSA), déployé à Paris
Ssd Mx500
À prix cassé, ce SSD interne Crucial MX500 est parfait pour mettre à jour les vieilles config (-41%)
Test Samsung Galaxy A55
Test Samsung Galaxy A55 : bonne ou mauvaise pioche pour moins de 500 euros ?
Tiktok Lite 3
La Commission européenne veut en savoir plus sur TikTok Lite, qui rémunère l’addiction
TikTok twitter lgbtq moderation
Pour discuter avec les fans, des bots pourraient remplacer les influenceurs sur Instagram
Galaxy A34 5g
Neuf, ce Samsung Galaxy A34 5G est vendu une misère sur ce site bien connu (-47%)
Google Maps Icone
Google Maps va proposer des itinéraires alternatifs faibles en carbone à Paris
Top téléchargements