Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Alexa, Google Assistant : des chercheurs utilisent les assistants vocaux pour espionner les utilisateurs

Alexa, Google Assistant : des chercheurs utilisent les assistants vocaux pour espionner les utilisateurs

Le 23 octobre 2019 à 08h59

Des chercheurs de SRLabs (Security Research Labs) ont mis au point des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo.

Elles ont passé sans problème les processus de contrôle des deux géants du Net et étaient utilisables sur n'importe quelle enceinte connectée (les applications ont depuis été supprimées).

Deux attaques différentes ont été menées. La première fait croire que l'application n'est pas disponible dans votre pays, l'utilisateur pensant alors que l'application s'est arrêtée. En fait, elle laisse seulement une minute de blanc avant d'annoncer une mise à jour pour l'enceinte connectée, en demandant à l'utilisateur son mot de passe.

Dans la seconde attaque, l'application semble fonctionner correctement et fait croire à l'utilisateur que la session est terminée et qu'elle arrête donc d'écouter. En réalité, ce n'est pas le cas.

Amazon et Google ont été contactées en amont. Les deux sociétés ont affirmé à Ars Technica qu'elles avaient mis en place des changements dans leurs procédures de validation, sans plus de détail.

Rien ne dit non plus que des applications malveillantes de ce genre ne sont pas encore disponibles sur les deux assistants numériques. Une preuve qui montre une fois de plus qu'il faut être prudent face à ce genre de produits. 

Le 23 octobre 2019 à 08h59

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

HS mais assez “drôle”: Google et les plaques d’imatriculation de voiture.

https://jalopnik.com/google-is-reading-your-license-plates-1839259494



Fonctionne parfaitement en Europe/France.

Essai bmw 116d FJ-915-PD de la semaine dernière L’Automobile magazine



Résultats Google Images google.com Google

votre avatar

J’ai rien compris. Quelqu’un pour m’expliquer ?

votre avatar

grosso modo, les gars ont fait des appli qui quand tu les installes :




  • font genre elle marche pas mais en faite si et après un certain temps demande le mdp pour une prétendu mise à jour (du coup l’utilisateur crois que c’est le système qui demande de façon legit et donne le mdp)

  • elle fonctionne correctement et dit qu’elle met fin à la session d’écoute alors qu’elle écoute toujour en réalité du coup l’utilisateur est écouter sans avoir donner son avic/accord



    C’est pas demain la veille que j’aurais ce genre de trucs chez moi.

votre avatar

Des chercheurs en sécurité ont créé 2 applications pour enceinte connectée. Une qui récupérait le mot de passe de l’utilisateur et une qui continuait à écouter en faisant croire qu’elle était arrêtée.

votre avatar

Voilà, c’est plus clair que moi.

votre avatar

Google lit les images et les met a dispositions.

votre avatar

Ho la vache ! Pas souvent que je suis étonné par les capacités de Gogole mais là…

Bientôt la même chose pour les visages… Ha ? c’est déjà le cas ? ok

votre avatar

On peut installer des applis sur un google home ? Ok. C’est pour ca que je comprennais rien. 

Merci

votre avatar

oui comme dit dans l’article :



des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo

votre avatar

Solution ? Arrêtez d’acheter un truc inutile, ils ont inventé un besoin qui n’es que purement commercial…

votre avatar

Une chose importante tout de même à noter : tant que le Google Mini écoute les LEDs sont allumées et “vibrent” au son de la voix. 

Clairement il suffit de regarder l’appareil il n’y a jamais le moindre doute sur le fait qu’il écoute à ce moment.

votre avatar

Hahaha ! J’ai essayé avec le numéro d’immatriculation de ma voiture, et j’ai obtenu des photos… de chars d’assaut.

Tout ça parce qu’il se termine par “T 35”.

votre avatar

Non, ils mettent à disposition un système fort pratique d’interaction vocale. C’est plutôt bien fait, notamment l’intégration avec la domotique, si les produits sont compatibles, évidemment.

Maintenant, le soucis de confidentialité, ça peut-être un problème, mais je suppose qu’il est exactement le même avec chaque téléphone cellulaire, au niveau écoute.

Pour la partie domotique, une prise de contrôle intempestive, ça pourrait être réellement plus chiant : chauffage poussé à fond, déverrouillage des portes, sirènes d’alarme non stop ou diffusion HP à fond, arrosage du jardin, remplissage piscine etc…<img data-src=" />



L’I.A. de l’assistant Google est balbutiante : je fais un test récurrent depuis un an pour voir son évolution ; je pose 2 questions coup sur coup :





  • OK Google es-tu une intelligence artificielle-&gt;Oui bla blabla

  • OK Google donne moi un point commun entre un citron et une banane-&gt;aucun résultat





    C’est pas demain la veille SkyNet…<img data-src=" />

votre avatar

Donc tu me fait 1 phrase de prétendues qualités et le reste de défauts xD



Pour la domotique et tout le reste une bête tablette comme “télécommande” pour piloter tout ça et hop. C’est naturel chez toi de dire “lumière” en rentrant dans une pièce ?

C’est naturel de dire “google ouvre les volets” plutôt que d’appuyer sur un raccourcis rapide sur un écran ? Idem comment tu dis à google “ferme les volets mais laisse un peu ouvert celui de la 3eme fenêtre je ferais sortir le chat par là” ?



Tu te contente de confirmer ce que j’ai dis, c’est purement et simplement inutile et tu ajoute que le système est encore basique et très “bête” au sens intelligence dans l’interaction…

J’attend avec impatience qu’une personne glisse un haut parleur près d’une vitre ou aération et fasse “OK Google, ouvre la porte” verrouillée avec une serrure connectée (suffit d’enregistrer la commande une seule fois par exemple en sonnant la veille au soir)



Nan franchement les risques sont dément comparé à un bénéfice purement fictif inventé par les sociétés qui commercialisent ces produits.

J’ai eu un Nabaztag et un Karotz, j’ai jamais discuté vraiment avec, je le pilotais avec une appli et des tag NFC qui lançais la musique, la radio, les infos, … Lui dire plutôt que poser un ptit tag NFC dessus ? Je vois pas l’intérêt de lui parler.

votre avatar

Une chose encore plus importante tout le monde à un champ de vision d’à peu près 180° (réellement un peu moins)

Le principe d’un “assistant vocal” c’est que t’a pas besoin de tes yeux pour communiquer comme avec un écran ^^ explique moi l’intérêt si tu dois regarder le truc ?

votre avatar







secouss a écrit :



Une chose encore plus importante tout le monde à un champ de vision d’à peu près 180° (réellement un peu moins)

Le principe d’un “assistant vocal” c’est que t’a pas besoin de tes yeux pour communiquer comme avec un écran ^^ explique moi l’intérêt si tu dois regarder le truc ?





J’ai pas dit que c’était une nécessité. Juste qu’on peut s’en apercevoir relativement facilement.

&nbsp;

D’autant plus qu’en l’occurrence dans le cas de cette faille on a une (fausse) erreur : généralement quand j’ai un truc qui déconne je fais un deuxième essai en étant plus attentif à l’appareil.


votre avatar

bah tu as déjà un peu ça avec la recherche inversée (même si je soupçonne que ça fonctionne(ait ?) plus par rebond : la recherche retrouve l’image et donne le nom en fonction du contexte, soit avec les meta, soit avec le contenu de la page hébergeant la photo reconnue)

votre avatar

C’est pas entièrement vrai, ça peut avoir un vrai intérêt pour des personnes en situation de handicap.

votre avatar







j-dub a écrit :



J’ai pas dit que c’était une nécessité. Juste qu’on peut s’en apercevoir relativement facilement.

 

D’autant plus qu’en l’occurrence dans le cas de cette faille on a une (fausse) erreur : généralement quand j’ai un truc qui déconne je fais un deuxième essai en étant plus attentif à l’appareil.







La sécurité c’est pas à toi de la forcer, mais à l’appareil de l’intégrer. Toi tu es plus attentif, mais les gens comme toi (moi/nous) c’est quoi ? 5% des utilisateurs ? Même pas je pense…







livvydun a écrit :



C’est pas entièrement vrai, ça peut avoir un vrai intérêt pour des personnes en situation de handicap.







Je conçois tout a fait l’idée, mais les handicapés vivent depuis longtemps sans des systèmes de ce type, que ce soit un plus sans doute pour eux mais pas pour le commun des mortels ^^

J’ai une amie qui ne peut plus utiliser ses bras, elle est en fauteuil et elle le pilote avec les pieds. D’ailleurs elle tape aussi ses sms avec les pieds (et elle tien le tel avec ses orteils ce qui est assez ouf à voir)

Le corps s’adapte au handicap de manière épatante !!


votre avatar

De pouvoir lui faire exécuter des tâches avec les mains pleines ou sales (perso sa fonction première chez moi est de lancer des minuteurs quand je cuisine).



Mais au delà de ça ce n’est pas parce qu’on n’identifie pas l’intérêt qu’il n’existe pas ou ne viendra pas avec le temps. Si je prends l’exemple du smartphone, à ses début je ne voyais pas l’intérêt alors que maintenant on a de quoi faire énormément de choses en mobilité avec. La technologie des assistant vocaux en est à ses balbutiements, les possibilités viendront plus tard.



Pour en revenir à la brève, le problème est surtout côté utilisateur. A lui de ne pas télécharger n’importe quoi et surtout de vérifier l’éditeur de la solution. Après on a toujours le problème du tiers de confiance.



Et un petit regard sur l’assistant pour voir si les led sont allumées ça ne mange pas de pain (les appareils google et amazon ont des lumières bien visibles lorsqu’ils enregistre les requêtes)

votre avatar

Keuwaaah ?!? Un appareil espion qui permet d’espionner/laisse passer des applis qui espionnent ? Shoking !!

votre avatar

Le fait d’avoir vécu sans alors que ça n’existait pas veut pas dire que ça répond pas à un vrai besoin.

votre avatar

Ça c’est pas étonnant, c’est même encore plus fort, si je cherche dans mes google photos en tapant chien, j’ai toutes les photos de mon chien qui remonte grâce au traitement IA/mots clés :) à mon avis ils ont le même genre d’algo sur l’indexation d’images, ça veut dire que tu peux avoir une image qfdhsfidsf.jpg sans aucune mention aux chien qui remontrera dans les résultats google image de “chien” :)&nbsp;

votre avatar







Jarodd a écrit :



Keuwaaah ?!? Un appareil espion qui permet d’espionner/laisse passer des applis qui espionnent ? Shoking !!







Oui hein. Etonnant.


votre avatar







La Mangouste a écrit :



De pouvoir lui faire exécuter des tâches avec les mains pleines ou sales (perso sa fonction première chez moi est de lancer des minuteurs quand je cuisine).





Règle N°1 en cuisine: l’hygiène et le nettoyage au fur et a mesure. Les assistants vocaux ne t’aident à rien par rapport à cela.







La Mangouste a écrit :



Mais au delà de ça ce n’est pas parce qu’on n’identifie pas l’intérêt qu’il n’existe pas ou ne viendra pas avec le temps. Si je prends l’exemple du smartphone, à ses début je ne voyais pas l’intérêt alors que maintenant on a de quoi faire énormément de choses en mobilité avec. La technologie des assistant vocaux en est à ses balbutiements, les possibilités viendront plus tard.





Ou pas. L’interface ici est basée sur la parole qui est déjà intrusive en soi. Dans une maison connectée si tout le monde commence à donner des ordres oraux à des machines pour effectuer des taches basiques, cela va vite devenir n’importe quoi.

De plus il est beaucoup plus difficile d’exprimer correctement quelque chose dès la 1ere fois à l’oral que par écrit. Par écrit, on peut s’arrêter au milieu d’un mot pour réfléchir, on a accès à tout ce qu’on vient d’écrire: on peut donc effacer, revenir en arrière, modifier à la volée. Autant de choses qu’une interface orale ne permet pas.

Bref, hormis quelques cas bien spécifiques c’est une fausse bonne idée.







La Mangouste a écrit :



Pour en revenir à la brève, le problème est surtout côté utilisateur. A lui de ne pas télécharger n’importe quoi et surtout de vérifier l’éditeur de la solution. Après on a toujours le problème du tiers de confiance.





Le problème provient surtout des utilisateurs qui font une confiance aveugle à un micro sur lequel ils n’ont aucune emprise.


votre avatar







La Mangouste a écrit :



Pour en revenir à la brève, le problème est surtout côté utilisateur. A lui de ne pas télécharger n’importe quoi et surtout de vérifier l’éditeur de la solution. Après on a toujours le problème du tiers de confiance.



Et un petit regard sur l’assistant pour voir si les led sont allumées ça ne mange pas de pain (les appareils google et amazon ont des lumières bien visibles lorsqu’ils enregistre les requêtes)







Mais non ! On parle d’un équipement qui cache sa dangerosité ! Fatalement les gens n’ont pas conscience du risque qu’ils prennent on leur vend pas que les led servent à la sécurité, ni qu’ils doivent faire attention quand ils installent une appli que le store de la société qui leur vend l’appareil !



C’est un peu comme si tu disait à un conducteur ;

“Faites gaffe, parfois le compteur se bloque et n’affiche plus votre vrai vitesse mais pas d’inquiétude si ça arrive une p’tite led s’affiche et suffit de s’arrêter et de redémarrer pour résoudre le problème”



La sécurité du produit est un devoir (une obligation légale) qui incombe à la société qui vend le produit, sauf si elle vend un produit “ouvert” dans le sens ou tu peux aller beaucoup plus profondément dans ses paramètres et même là elle reste en grande partie responsable de la sécurité. Idem la sécurité des applis c’est son boulot. Sinon il faut préciser explicitement sur tout le store qu’il y à des applis dangereuses, et précisé lors de l’achat (de manière lisible et claire) le risque qui incombe à l’utilisateur.



Finalement on retombe sur le même problème que l’autopilote de Tesla ou même a plus grande échelle au MCAS des 737Max lorsqu’il y à transfert de la charge d’un risque d’une entité à une autre il faut le préciser, l’encadrer et former les gens.


votre avatar







livvydun a écrit :



Le fait d’avoir vécu sans alors que ça n’existait pas veut pas dire que ça répond pas à un vrai besoin.







L’inverse est tout aussi vrai. Personnellement j’admire la personne qui a inventé un grille pain qui fait des dessins sur le pain de mie, ça n’existait pas, ce n’était pas un besoin et c’est pas plus un besoin depuis que ça existe ^^



“On va créer un médicament mutagène capable de rendre l’ADN contenu dans un foetus plus pur, c’est pas un besoin vu que ça n’existe pas mais demain ça changera le monde” la pertinence d’un besoin ne se juge pas à son existence ou non <img data-src=" /> mais a des critères sociétaux, anthropologiques, éthiques, … Au final on parle de sciences humaines <img data-src=" />


votre avatar

Je comprends pas vraiment les commentaires négatifs sur les assistants vocaux suite à cet article précis… Si j’ai bien compris, on parle d’une application que l’utilisateur DOIT installer de son plein gré, et ensuite il doit être assez stupide pour donner son mot de passe <img data-src=" />

Ces mecs ne sont pas chercheur en cybersécurité, mais plutôt en bêtise humaine… Soyons sérieux 30 secondes, si je donne ma carte bancaire et son code à un inconnu dans la rue, je vais pas me plaindre auprès de la banque d’avoir eu un piratage de mon compte…



Après je ne vais pas débattre dans la globalité des assistants vocaux, mon commentaire se limite purement à cette news.

votre avatar







carbier a écrit :



Le problème provient surtout des utilisateurs qui font une confiance aveugle à un micro sur lequel ils n’ont aucune emprise.



<img data-src=" />

Et c’est pour cette raison (on n’a aucune emprise dessus) que je refuse d’avoir le moindre assistant vocal chez moi.


votre avatar







mizuti a écrit :



Je comprends pas vraiment les commentaires négatifs sur les assistants vocaux suite à cet article précis… Si j’ai bien compris, on parle d’une application que l’utilisateur DOIT installer de son plein gré, et ensuite il doit être assez stupide pour donner son mot de passe <img data-src=" />

Ces mecs ne sont pas chercheur en cybersécurité, mais plutôt en bêtise humaine… Soyons sérieux 30 secondes, si je donne ma carte bancaire et son code à un inconnu dans la rue, je vais pas me plaindre auprès de la banque d’avoir eu un piratage de mon compte…



Après je ne vais pas débattre dans la globalité des assistants vocaux, mon commentaire se limite purement à cette news.



Il n’y a pas besoin d’installer la moindre appli pour se faire espionner avec un assistant vocal. L’actu l’a déjà prouvé plusieurs fois…


votre avatar







mizuti a écrit :



Je comprends pas vraiment les commentaires négatifs sur les assistants vocaux suite à cet article précis… Si j’ai bien compris, on parle d’une application que l’utilisateur DOIT installer de son plein gré, et ensuite il doit être assez stupide pour donner son mot de passe <img data-src=" />





Tu connais le principe du karma ? J’espère pour toi que tu ne te feras jamais avoir une seule fois dans ta vie par une appli piratée ou autre…. Sinon tu passerais de facto du côté des “stupides”.



PS: je ne savais pas qu’il fallait avoir bac +8 en maitrise des assistants vocaux pour pouvoir les utiliser sereinement.


votre avatar







Aloyse57 a écrit :



L’I.A. de l’assistant Google est balbutiante : je fais un test récurrent depuis un an pour voir son évolution ; je pose 2 questions coup sur coup :





  • OK Google es-tu une intelligence artificielle-&gt;Oui bla blabla

  • OK Google donne moi un point commun entre un citron et une banane-&gt;aucun résultat





    C’est pas demain la veille SkyNet…<img data-src=" />





    Normal, tu (les gens généralement) confonds IA faibles (apprentissage automatique) et IA fortes (ce qu’on voit dans les films). C’est totalement différent.



    Après, c’est stupide appeler le premier cas une IA, mais bon…


votre avatar

Tu n’as pas de téléphone (filaire ou mobile) ? C’est assez rare, quand même.

votre avatar







Mihashi a écrit :





Après, c’est stupide appeler le premier cas une IA, mais bon…







Mais ça nous est présenté comme le second cas. Et c’est ce à quoi je m’attends 😥


votre avatar







Aloyse57 a écrit :



Tu n’as pas de téléphone (filaire ou mobile) ? C’est assez rare, quand même.



Depuis quand un téléphone fixe sert à espionner? <img data-src=" /> Tu décroches et tu laisses décrocher à la moindre occasion, surtout si c’est qqu’un que tu ne connais pas? Tu dois être la seule personne au monde à faire ca…

Et mon tél est souvent loin de moi, donc pour m’épier, ca va pas être facile. Sans compter que ce n’est pas parce qu’on a un truc qui peut potentiellement faire un truc négatif, qu’il faut forcément accepter celui qui fait bien pire, hein.


votre avatar

C’est clair, pas besoin d’installer des applis dessus le concept même de ces machins est déjà un gros problème de sécurité en soit, le fait de pouvoir installer des applis moisies dessus ne fait qu’empirer un problème déjà existant à la base.

Je n’ai pas souvenir d’avoir vu passer beaucoup de choses sur le merdier de chez Google mais pour celui d’Amazon suffit de chercher Alexa rien que sur ce site pour voir remonter un beau paquet de soucis de sécurité, genre le machin qui interprète mal les mots qu’il entend et balance des conversations privées aux 4 vents pour l’un des derniers en date par exemple.

votre avatar







Guinnness a écrit :



C’est clair, pas besoin d’installer des applis dessus le concept même de ces machins est déjà un gros problème de sécurité en soit, le fait de pouvoir installer des applis moisies dessus ne fait qu’empirer un problème déjà existant à la base.

Je n’ai pas souvenir d’avoir vu passer beaucoup de choses sur le merdier de chez Google mais pour celui d’Amazon suffit de chercher Alexa rien que sur ce site pour voir remonter un beau paquet de soucis de sécurité, genre le machin qui interprète mal les mots qu’il entend et balance des conversations privées aux 4 vents pour l’un des derniers en date par exemple.



Il y a aussi espionnage par les employés d’Amazon et Google <img data-src=" />


votre avatar

C’est tout le problème avec ces machins décentralisés : on a aucun contrôle sur l’endroit où partent les données collectées ni quelle utilisation va en être fait et quand on voit que les boites derrière ces bidules sont des spécialistes de la collecte/revente de données personnelles ….



Je ne suis pas forcément hostile au concept de base de ce genre de trucs mais hors de question de leur faire confiance tant que le traitement ne se fera pas intégralement en local.

Alexa, Google Assistant : des chercheurs utilisent les assistants vocaux pour espionner les utilisateurs

Fermer