Publié le 13 août 2020 à 12h20

Des chercheurs ont infecté des sites d’Amazon pour pirater Alexa

Temps de lecture : 3 min

Et si, quand vous demandiez à Alexa de lire la météo, elle activait des caméras et envoyait un flux d’image vers l’extérieur ?

Avec un seul clic de leur victime sur un lien Amazon, les chercheurs de Check Point parvenaient à pirater des comptes Alexa. Une fois leur attaque réussie, ils pouvaient :

Dérober les informations stockées sur le compte de l’utilisateur. Par exemple, ils ont eu accès à l’historique des données bancaires, le nom d’utilisateur, le numéro de téléphone, ou encore l’adresse du domicile. Des pirates pourraient revendre ces données ou les exploiter pour lancer d’autres attaques.
Ajouter et supprimer des « skills » d’Alexa. Les « skills » sont des commandes qui permettent de déclencher toutes sortes d’actions comme « dis-moi la météo ». Il est possible d’en télécharger des centaines sur le site d’Amazon, et tout le monde peut en soumettre un. Un pirate pourrait donc télécharger un « skill » malveillant qu’il a lui-même développé.
Accéder à l’historique des commandes vocales. Grâce à cette information, le hacker saura comment sa victime utilise son assistant vocal. S’il dit souvent « Alexa, éteins les lumières », alors le pirate pourra attribuer un « skill » malveillant à cette commande.

Grâce à leur manipulation, les chercheurs pouvaient ajouter et supprimer des skills d’Alexa à leur guise, et en arrière-plan. // Source : Capture d’écran Amazon

Bref, grâce à une vulnérabilité et un clic de l’utilisateur, Check Point a trouvé de quoi mettre en place des dizaines de scénarios d’attaque, de l’espionnage au vol de données en passant par des manœuvres de chantage. Il faut dire que plus de 200 millions d’appareils répondent aux commandes de l’assistant vocal d’Amazon et que l’entreprise a pris des mesures pour étendre encore plus le nombre d’appareils compatibles.

Averti par Check Point, Amazon a rapidement réparé le bug, de sorte qu’il est désormais impossible de reproduire l’attaque.

D’une injection de code au déclenchement d’apps malveillantes

À l’origine de l’attaque se trouve une vulnérabilité sur les sous-domaines d’Amazon (des adresses en amazon.com) : ils autorisaient des personnes extérieures modifier les pages en injectant du code HTLM. C’est ce qu’ont fait les chercheurs, ce qui leur a permis de transformer certaines pages en un outil malveillant.

Pour poursuivre son scénario d’attaque, l’équipe de Check Point devait pousser les utilisateurs à visiter cette page : ils ont donc mis en place un email de phishing. Il n’est pas compliqué à rendre convaincant, car les utilisateurs sont habitués à recevoir des emails de promotions de la part d’Amazon. Et puisque le lien de phishing redirige vers une page d’Amazon, il passerait outre les filtres antispam, et la cible de l’attaque n’a pas vraiment de raison de se méfier.

Deux identifiants essentiels sont dérobés

Sauf qu’en cliquant sur le lien, le piège se referme sur elle. « Une fois que la victime a déclenché l’attaque, nous pouvons nous emparer du token de sa session, et du token CSRF », précise à Cyberguerre Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. Il s’agit de deux identifiants uniques, que les chercheurs vont ensuite exploiter pour usurper l’identité de l’utilisateur auprès des serveurs d’Amazon. Grâce à ces informations, ils pourront effectuer toutes sortes d’actions depuis le compte de l’utilisateur. « Une fois que nous contrôlons Alexa, c’est comme si nous contrôlions un ordinateur, et nous pouvons opérer en arrière-plan », ajoute Oded Vanunu

Une attaque, des dizaines de scénarii malveillants

L’attaque est désormais déployée, les éventuels pirates n’ont plus qu’à faire parler leur imagination. Puisqu’ils ont accès à l’historique des commandes Alexa, et peuvent développer un faux « skill » qui téléchargera une application malveillante ou activera une caméra lorsque l’utilisateur demandera la météo.

« Nous pouvons par exemple télécharger un « skill » qui déclenche une caméra quand l’utilisateur demande la météo », projette le dirigeant. Le piratage initial ouvrait donc la porte à des dizaines de scénarii d’attaque. Cette fois, ce sont des chercheurs bienveillants qui ont découvert la faille en premier. La prochaine fois, ce pourrait être des malfaiteurs. Mieux vaut donc régulièrement surveiller l’activité de son compte et de ses appareils pour les utilisateurs d’Alexa, et plus généralement, des assistants connectés.

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !

Crédit photo de la une : HeikoAL/Pixabay

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Philips Hue Caméra // Source : Philips Hue

Les caméras Philips Hue coûtent cher et ne supportent pas Apple, Google et Amazon

La solution de cybersécurité Bitdefender Premium Security Plus profite de 50 % de remise durant le Black Friday

Voici comment Bitdefender vous aide à réaliser des achats en toute sécurité pour le Black Friday

sponso

Pourquoi les ministres vont devoir renoncer à WhatsApp, Signal et Telegram

« Des dommages incalculables » contre les USA : 40 ans de prison pour l’auteur de la pire fuite de la CIA

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

Les derniers articles cyberguerre

Les hackers du Kremlin tiennent des chaînes Telegram ultra-nationalites russes sur lesquelles ils revendiquent des cyberattaques. // Source : Numerama avec Midjourney

cyberguerre géopolitique

Des hackers « chiens fous » de Poutine se lancent dans des cyberattaques contre les infrastructures énergétiques

19.04.2024 18:14

Prudence

Une attaque par phishing tente de piéger les internautes sur LastPass

19.04.2024 16:40

Le renseignement russe a développé de nouveaux logiciels. // Source : Numerama avec midjourney

cyberguerre géopolitique

« Kapeka », un nouveau logiciel malveillant du renseignement russe, a été repéré

17.04.2024 13:07

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

cyberguerre hygiène numérique

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Le Parc des Princes, le stade du PSG. // Source : Numerama

cyberguerre cybercriminalité

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique phishing

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Fini le stockage sur le navigateur

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32

tech smartphone applications

Keeper déploie enfin le nécessaire pour en finir avec les mots de passe sur smartphone

03.04.2024 08:33