Une équipe de chercheurs a publié la démonstration d'un hack de smartphone grâce à des ultrasons. Ils abusent ainsi des fonctionnalités activables par commandes vocales de Siri et Google Assistant. Cette piste de recherche revient régulièrement sur la table, mais reste quasi irréalisable hors laboratoire.

Des assaillants pourraient, dans un futur proche, activer des fonctionnalités de votre smartphone grâce à des ultrasons. C’est ce que tente de prouver une équipe de chercheurs sino-américaine, qui a publié un article de recherche accompagné d’une vidéo de démonstration.

« Nous voulons avertir le grand public à propos de ce type de menace », explique Ning Zhang, un des chercheurs investis sur le projet. Ce ne sont pas les seuls à travailler sur l’usage des ultrasons pour manipuler les objets connectés en toute discrétion. Mais pour l’instant, le dispositif à mettre en place reste bien trop compliqué et encombrant pour que ce genre d’attaque se popularise ou ait un intérêt pour l’assaillant.

Prendre des photos, voler des SMS, passer des appels…

Le scénario d’attaque est repris par plusieurs équipes de recherche : un assaillant utiliserait des ultrasons (inaudibles par l’oreille humaine) pour activer la commande vocale des assistants connectés. Grâce à ce tour de passe-passe, il pourrait passer des appels, lire à voix haute des messages, ou prendre des photos avec la caméra frontale, entre autres.

Le dispositif de l’attaque telle qu’envisagée par les scientifiques. // Source : Qiben Yan & al.

L’équipe de recherche de Ning Zhang a nommé cette technique « SurfingAttack » : l’idée est de cacher un émetteur d’ultrasons sous la table sur laquelle la victime posera son smartphone. Ensuite, le petit objet pourra retranscrire en ultrasons des commandes vocales envoyées depuis un ordinateur à distance, et activer le smartphone posé sur la table, le smartphone émettant à haute voix ses commandes. Il suffit d’enregistrer les messages avec un autre appareil, et le tour est joué. La manipulation peut servir par exemple à voler les SMS utilisés pour la double authentification et donc autoriser des transactions ou accéder à des comptes d’applications.

Dans la vidéo, l’émetteur répète la commande « prendre un selfie » toutes les dix secondes, et le smartphone s’exécute. Les chercheurs lui font également lire sur haut-parleur le SMS qui contient le code d’authentification d’une transaction bancaire. Il est enregistré sur un appareil placé à côté. Bref, le dispositif est particulièrement encombrant, visible et audible.

Possible, mais toujours irréalisable hors laboratoire

Bien que potentiellement dangereuse, la SurfingAttack a donc encore trop de limites évidentes : l’appareil fera du bruit à l’activation, ce qui pourrait annuler le côté silencieux de l’attaque, même si les assaillants pourraient diminuer le volume après la première activation. Imaginez, en effet, votre smartphone lire à haute voix électronique le contenu d’un message texte : cela ne passe pas inaperçu (ou alors, la cible est inconsciente… mais dans ce cas, pourquoi passer par des ultrasons ?).

Ensuite, les chercheurs expliquent dans leur vidéo que l’attaque à une portée de 9 mètres, qui implique une certaine proximité. Et ce n’est pas tout : l’assaillant doit imiter la voix de sa cible pour activer son appareil (si tant est que cette reconnaissance personnalisée ait été configurée). Des logiciels de synthèse  automatique de la voix existent, mais il faut les nourrir avec des extraits audio. Plus ils auront un grand nombre d’enregistrements de la voix de la cible sur lesquels s’entraîner, plus leur copie sera proche de l’original. Dans le cas de célébrités, c’est une tâche facile puisqu’il suffit d’aller sur YouTube ou les chaînes de télévision. Mais la manœuvre devient plus compliquée pour les personnes non publiques.

Autre limite, peut être la plus importante : il faut que les victimes aient donné toutes sortes de permissions à Google Assistant, Alexa ou Siri. La SurfingAttack serait particulièrement limitée si l’assistant ne permet pas de déverrouiller le smartphone, puisque le verrouillage empêche toutes sortes de commandes vocales. Sur iOS, vous pouvez par exemple choisir dans les paramètres de ne pas autoriser Siri à déclencher des commandes si l’écran est verrouillé.

Enfin, dans l’attaque démontrée par les chercheurs, les ultrasons se propagent au travers du matériau de la table. La SurfingAttack ne fonctionne donc que si le smartphone est posé directement sur la table, et non sur un support supplémentaire (comme une nappe).

Une vraie menace dans les années à venir ?

Les chercheurs travaillent sur ce genre d’attaque depuis plusieurs années. Déjà en 2017, des scientifiques chinois avaient mis au point une démonstration de ce qu’ils appelaient « l’attaque dauphin », en clin d’œil à l’usage d’ultrasons.

Elle requérait une liste de conditions encore plus longue et précise : un environnement quasi silencieux, le micro du smartphone devait être parfaitement aligné avec le haut-parleur à ultrason et les deux appareils devaient être séparés d’une distance inférieure à  175 centimètres…

Les chercheurs ont conscience des limites, mais l’équipe derrière la « SurfingAttack » anticipe déjà sur le futur de l’usage des ultrasons. «  Nous pensons qu’il s’agit d’une attaque réaliste. Le générateur de signaux ultrasons est le seul équipement imposant. Une fois que nous l’aurons remplacé par un smartphone, le nécessaire pour reproduire l’attaque sera portable », explique à The Register Qiben Yan, un des auteurs de l’étude.

Mais peut-on s’en inquiéter ? Dans le pire des cas, il suffit de refuser le déverrouillage par la voix pour se protéger de l’attaque, option déjà disponible. Ou se dire que quelque chose cloche si son smartphone se met à beugler tout seul dans l’open space.

Crédit photo de la une : Pexels

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux