Faut-il se méfier des enceintes intelligentes ? On savait déjà qu’elles peuvent écouter nos conversations pour les transmettre à Facebook ou Google. Mais elles pourraient, aussi, obéir à des pirates, et même… menacer notre vie

Pour situer l’enjeu, Selon un rapport publié par voicebot.ai, plus d’un milliard d’appareils disposent d’un assistant vocal. Et un foyer américain sur cinq possède une enceinte intelligente.

On a beaucoup parlé des messages vocaux des internautes écoutés en secret par les GAFA, ces géants des raisons sociaux. Mais il existe un autre risque, tout aussi effrayant. Dans un article publié en 2017, des chercheurs de l’université chinoise de Zhejiang ont présenté une technique qui permet de prendre en secret le contrôle des assistants vocaux. Son nom : le DolphinAttack, Ces chercheurs ont converti les ordres vocaux en ultrasons, inaudibles pour les humains mais compréhensibles par les appareils connectés.

En pratique, l’ultrason est reconnu par l’appareil connecté comme une impulsion électrique qui se transforme en un ordre vocal sans que le propriétaire de l’appareil ne puisse l’entendre. L’appareil exécute ensuite la commande vocale. Pour, par exemple, désactiver l’alarme ou commander 50 pizzas sur internet. Tout est possible pour peu que la maison soit domotisée en conséquence. Et ça marche sur la plupart des assistants vocaux tels que Alexa d’Amazon, Siri d’Apple et autres.

Risque encore limité

Heureusement, pour l’instant, l’efficacité de DolphinAttack est encore réduite à un rayon de 7 mètres expliquent des chercheurs de l’université de l’Illinois, à Urbana-Champaign. Mais cette distance augmente sans cesse.

Une autre technique, utilisée, cette fois, par Les experts de l’université de Berkeley, consiste à cacher des commandes vocales dans des sons. Une nouvelle fois, l’oreille humaine n’entend rien, à la différence du logiciel de l’assistant vocal qui, lui détecte la commande. La différence entre le son original et le son piraté est pratiquement inaudible. Cette technique permet, par exemple, d’utiliser l’enceinte connectée pour diriger son logiciel vers un site pirate.

4 images Les fabricants cherchent déjà comment protéger les appareils à activation vocale. AFF

Danger réel ou théorique ?

La bonne nouvelle est que contrôler les assistants vocaux en cachette n’est actuellement possible qu’en laboratoire. Il faut pouvoir disposer d’un haut-parleur ultrasonique situé très proche de l’enceinte intelligente.

Mais le ver est dans le fruit et, explique la société de sécurité Kaspersky, les fabricants cherchent déjà comment protéger les appareils à activation vocale. Par exemple, les attaques par ultrason peuvent être contrariées en détectant les changements de fréquence dans les signaux reçus. Il faudrait donc entraîner tous les appareils intelligents à reconnaître la voix de leur propriétaire. Mais ce n’est pas encore efficace estime Kaspersky. Ce système de sécurité peut être trompé par un enregistrement vocal.

Acouphènes, nausées, maux de tête et dépression

Il existe un autre risque. Celui que ferait courir un pirate capable d’émettre via un assistant numérique des sons dangereux, voire mortels pour l’être humain.

C’est la théorie développée par Matt Wixey, un chercheur en sécurité chez PWC. Selon lui, les enceintes connectées sans fil sont une nouvelle porte d’entrée pour les pirates.

Lors de la conférence annuelle DEF CON 27 qui réunit à Las Vegas les hackers de tout poil, Matt Wixey il a voulu montrer qu’un pirate pourrait, en utilisant l’enceinte connectée comme cheval de Troie, émettre des sons dangereux pour l’homme.

Très concrètement, il s’agit des ondes inaudibles qui se situent dans les fréquences ultrason de plus de 20 kHz et les fréquences infrasons de moins de 20 Hz. Dans un rapport que le chercheur a publié sur le Net, le chercheur énumère les risques encourus. Il est question d’acouphènes, de nausées, des maux de tête et même de dépression. Les enceintes intelligentes, elles aussi soufrent des ultrasons qui, lors des tests, ont vu leurs performances se dégrader. Si votre enceinte connectée ne fonctionne plus, vous en connaissez peut-être maintenant la raison.

4 images Photo de la pièce insonorisée utilisée par Matt Wixey pour tester la possibilité d’émettre des infrasons et des ultrasons via des assistants vocaux (publiée dans son rapport). Matt Wixey

Entre découverte académique et risque réel

Le risque devient réel, puisque ce chercheur a testé plusieurs appareils et a pu extraire des ultrasons et des infrasons des enceintes intelligentes, mais aussi de haut-parleurs, de PC portables, de téléphones mobiles, de casques audio et de simples enceintes Bluetooth. Il n’en donne ni les marques ni les modèles, mais sa conclusion est que certaines enceintes pourraient être utilisées comme des armes acoustiques. Les marques concernées ont été contactées. Et le chercheur affirme, dans son rapport, que tous les constructeurs ont apporté des correctifs à leurs appareils.

Qui cela pourrait-il intéresser ?

Pas sûr que votre voisin ait les compétences requises pour vous percer les oreilles à distance (mais sait-on jamais). En revanche c’est certainement le cas des armées du monde entier.

D’après le chercheur en sécurité Ryan Littlefield, cité par le site spécialisé 01net, Les premières recherches dans le domaine datent de la Première Guerre mondiale.

A la fin de la guerre du Vietnam, en 1973, ce sont des hélicoptères américains qui ont diffusé des attaques psycho-acoustiques pour réduire la combativité des soldats vietnamiens. Et depuis, les armées du monde sont capables d’envoyer des sons jusqu’à 5 km.

Souvenons-nous aussi du mystère des "attaques acoustiques" menées contre l’ambassade américaine à Cuba en 2016. Plusieurs diplomates ont été victimes de nausées, de maux de tête, de perte d’équilibre et d’audition, et même de surdité. Ce qui rappelle étonnamment les tests menés par Matt Wixey, mais sur des machines, et non sur des humains.

La généralisation des enceintes connectées devrait susciter un intérêt croissant parmi les pirates. Une menace qu’il faut désormais garder à l’œil et conserver au coin de l’oreille.

4 images Selon l’étude de Matt Wixey, tous les assistants sont susceptibles d’émettre des ultrasons. Apple