BlueBorne : Pirater un haut-parleur intelligent en 30 secondes

Les haut-parleurs intelligents modèles Amazon Echo et Google Home étaient jusqu'à tout récemment vulnérables à des attaques informatiques, a annoncé la firme de sécurité informatique Armis mercredi dernier. En effet, la firme de sécurité démontre dans une vidéo qu'une trentaine de secondes suffit pour prendre le contrôle de ces appareils.

Ces haut-parleurs étaient touchés par un ensemble de vulnérabilités appelées BlueBorne
Présentation BlueBorne par Armis (disponible en anglais seulement)

Cette défaillance qui permettrait à des pirates de s'infiltrer furtivement et d'utiliser les fonctions de l'appareil.

Ces assistants personnels activés par la voix, qui font partie de l'internet des objets, se joignent à une longue liste d'appareils affectés. Le marché des assistants personnels grandit rapidement, tant à la maison qu'au travail, avec environ 15 millions d'Amazon Echo et 5 millions de Google Home vendus jusqu'ici.

La démonstration vidéo ci-dessous permet de comprendre le sérieux de la menace. On peut y voir un pirate (à gauche) en train de modifier un fichier d'un Amazon Echo. Pendant ce temps, rien ne permet de deviner que le haut-parleur intelligent est victime d'une attaque.

En septembre dernier, Armis conseillait à la population d'éteindre le service Bluetooth de tous ses appareils, puisque les pirates se servant de BlueBorne exploitaient une faille de ce système de communication pour prendre contrôle des appareils visés. Or, il n'est pas possible d'éteindre Bluetooth sur les haut-parleurs intelligents, puisqu'ils ne bénéficient pas d'une architecture ouverte ni de menus facilement accessibles pour modifier ce type de configuration.

Armis a prévenu Amazon et Google dès la découverte de la vulnérabilité de leurs appareils. Les deux entreprises ont collaboré avec la firme pour préparer une mise à jour devant régler le problème et ces mises à jour ont déjà été appliquées automatiquement aux appareils touchés.

La sécurité des objets connectés, un nouveau défi à relever
Dans son rapport public sur cette vulnérabilité, Armis souligne que ce cas met en lumière un problème beaucoup plus large : les problèmes de sécurité inhérents aux objets connectés à Internet.

Contrairement aux mondes des ordinateurs personnels et des téléphones intelligents, où deux ou trois grands systèmes d'exploitation contrôlent la majorité absolue du marché, il n'existe pas d'acteur dominant dans l'industrie de l'internet des objets.
Ce qui crée un environnement encore plus fragmenté que celui qu'on observe déjà avec les systèmes d'exploitation Android.

Ce «nouveau» type de produit constitue un terrain propice au piratage, puisque de nombreux fabricants peinent à émettre des mises à jour pour régler des vulnérabilités. « S'il existe une mise à jour, elle risque de ne pas être appliquée automatiquement ni rapidement ou elle peut être très complexe à appliquer. Trop souvent, aucune mise à jour n'est émise. » nous dit Armis

Peut-être alors que le message que doivent envoyer les consommateurs aux développeurs et manufacturiers des haut-parleurs intelligents devrait être clair et précis; les appareils non sécurisés et non "sécurisables"resteront sur les tablettes !