Actualités

Amazon Echo : détourner les commandes vocales d’Alexa, c’est possible

assistants vocaux

Avec les assistants vocaux, un nouveau type d’attaque pourraient voir le jour.

A l’instar de l’attaque par typosquatting, qui se base sur les erreurs de frappes clavier pour diriger l’internaute vers de faux sites Web, des attaquants pourraient détourner l’interprétation de vos commandes vocales pour vous faire effectuer des actions non désirées. C’est le résultat d’une étude réalisée par l’université de l’Illinois.

assistants vocaux
assistants vocaux

Il n’est sans doute pas nécessaire de présenter Alexa, le service d’assistance vocale d’Amazon. En revanche, il est intéressant de savoir comment fonctionne cet assistant pour en comprendre les limites. Alexa utilise des skills qui sont autant de scripts qui permettent de créer des expériences personnalisées. Une radio crée par exemple un skill afin qu’Alexa interprète votre commande d’écoute des dernières nouvelles diffusées par cette radio. Ces Skill sont proposées sur un store dédié. Très récemment, l’Université de l’Illinois s’est intéressée à ces skills. Comment elles sont conçues et comment elles pourraient être détournées dans le cadre de Skill Squatting.

Mauvaise interprétation des mots prononcés

Sur le papier, l’attaque est assez simple. Considérant que certains termes peuvent être sujets à une interprétation erronée, il suffirait d’associer ce vocable à une action malveillante pour que le scénario soit déroulé à l’insu de l’utilisateur. Ce type de détournement n’est pas nouveau. Depuis des décennies, les erreurs typographiques sont utilisées par les cybercriminels pour faire naviguer les utilisateurs sur des sites contrefaits ou infectés. Avec Alexa, le principe est identique, mais basé sur le vocable. L’étude donne l’exemple d’une skill de banque contrefaite (Am X pour Amex) qui pourrait être installée et appelée à la place de la skill officielle. Ainsi chargée, la fausse page de connexion au compte en ligne permettrait à l’attaquant de récupérer les informations de connexion : un phishing d’un nouveau genre.

Quel risque en pratique ?

Dans le cadre de leur étude, les chercheurs de l’université de l’Illinois ont isolé un échantillon de 188 mots simples et multisyllabes (en anglais). Chacun de ces mots a été énoncé 50 fois par 60 différents locuteurs de sexes différents, dans différentes régions géographiques. Seuls 2% des mots de l’échantillon ont été reconnus correctement de façon systématique. 9% des termes ont en revanche été systématiquement mal interprétés… Les homonymes homophones sont évidemment les termes les plus susceptibles d’être mal compris par Alexa qui, sur ce point, connaît les mêmes difficultés que deux êtres humains qui tenteraient de converser.

Faut-il pour autant renoncer définitivement à accueillir un assistant vocal dans votre foyer ou dans les locaux de votre entreprise ? Ce serait tirer une conclusion un peu hâtive. Rien ne démontre qu’un tel détournement serait si aisé dans les conditions réelles. De plus, cette étude ne dit rien des risques d’interprétation sur la langue française. Une langue d’ailleurs souvent préservée, les attaquants focalisant généralement leurs développements sur la langue anglaise. Toutefois, cette étude met en lumière, les possibilités de détournement liées à l’usage de l’intelligence artificielle, y compris dans des usages domestiques !

>> Pour en savoir plus sur l’étude de l’université de L’Illinois

Source : G DATA

About the author

No Web Agency

No Web Agency est un site spécialisé dans la Publication & Diffusion de Communiqués de Presse, actus... édité par Sébastien Mugnier !

Notre objectif est simple, c’est d’accompagner les entreprises dans le développement de leur image, comme diffuseur de leurs actualités, ou encore en relais de leur stratégie marketing (lancement de produits, salon…).

Bienvenue sur No Web Agency

TWEET ME If You Can !