Un pépin découvert dans presque tous les comptes Alexa permettait d’accéder aux données personnelles de la victime. La brèche, déjà réparée par Amazon, a été exploitée par des pirates à l’aide d’un lien malveillant sur lequel l’utilisateur cliquait et qui ressemblait beaucoup à quelque chose d’officiel de la société de Jeff Bezos.
Alexa, contrairement à ses principaux concurrents comme Google Assistant et Siri, permet d’ajouter de nouvelles fonctionnalités dans une sorte d’extension et qui sont appelées par Amazon de compétences. Ils vont de l’ajout de commandes aux maisons intelligentes, à des jeux comme Akinator, MillionShow et même des podcasts qui peuvent être diffusés sur des haut-parleurs intelligents.
Une lacune dans les sous-domaines d’Amazon et d’Alexa visait précisément cette capacité, du moins c’est ce qu’a découvert la société de sécurité Check Point. Une fois le lien envoyé, le pirate pouvait accéder aux données personnelles de la victime telles que l’historique des achats, le numéro de téléphone et l’adresse physique, extraire l’historique vocal complet d’Alexa et voir également la liste des compétences, et installer ou désinstaller n’importe laquelle d’entre elles.
Le plus grand risque dans cette attaque est précisément la présence croissante de locuteurs compatibles avec l’Alexa. C’est essentiellement d’eux que vient l’histoire de la voix et en France nous avons déjà de nombreux modèles, comme toute la ligne Echo d’Amazon elle-même et d’autres partenaires, comme Izy Speak de la franchise Intelbras et les casques de Sony, allant même jusqu’aux derniers téléviseurs de LG et Samsung, qui embarquent l’assistant.
Le côté positif de cette alerte est qu’Amazon dit avoir déjà corrigé la faille et qu’elle ne peut plus être exploitée par les pirates informatiques.
