Des chercheurs ont repéré un nouveau mode de piratages baptisé « méthode du dauphin » qui pourrait être exploité dès maintenant par les hackers. D’après ces experts en cybersécurité, les assistants vocaux de Google, d’Amazon et d’Apple présentent une brèche de sécurité inattendue. En effet, il est possible de donner des ordres aux appareils via des ultrasons, et ce à l’insu de leur propriétaire.
Une nouvelle technique de hacking…
Cette méthode de hacking est appelée « dauphin », tout simplement parce qu’elle est fondée sur l’usage de sons inaudibles par l’humain, mais bien perçus par les assistants vocaux. Elle fait ainsi allusion au mode de communication des mammifères marins.
Avec cette technique de hacking, il suffit qu’un hacker malintentionné se serve de fréquences sonores imperceptibles à l’oreille pour parvenir à leur fin. Tous les appareils existants sur le marché sont tous des cibles potentielles, quelles que soient les précautions prises par leurs utilisateurs.
Dans la pratique, ce procédé de hacking consiste à transformer des commandes vocales fréquemment utilisées en ultrasons, pour ensuite les transmettre vers des micros de Smartphones. En effet, les appareils mobiles ont la capacité de percevoir ces voix inaudibles et d’obéir aux ordres sans que le propriétaire en fasse la requête. Un hacker situé à moins de 2 mètres de l’appareil ciblé peut lancer une application, ouvrir un site web ou tout simplement un appel.
La réalité des risques
Cette méthode est particulièrement dangereuse, puisqu’il est désormais possible de prendre le contrôle d’un mobile à l’aide d’équipement bon marché. L’opération peut toujours fonctionner même si le Smartphone reste éteint. Dans la poche ou dans le sac du propriétaire, l’appareil est capable d’installer un code ou un logiciel malveillant permettant à un hacker de réaliser des piratages.
À souligner par ailleurs qu’il s’agit aussi des mêmes commandes vocales employées dans bon nombre d’appareils comme les maisons ou les véhicules connectés. De façon concrète, les malfaiteurs sont en mesure de commander à distance une habitation ou modifier le trajet d’une voiture en changeant la destination du GPS.
En outre, la méthode peut être exploitée par des escrocs pour faire ouvrir à un PC ou une Smartphone une page web infectée. Elle donne ainsi un accès libre aux hackers sans besoins de manipuler physiquement l’appareil en question.
Les assistants vocaux sont particulièrement élaborés pour comprendre une multitude de requêtes simples, mais présentent cependant un niveau de sécurité peu rassurant. Ils n’ont pas la capacité de distinguer la voix du propriétaire à celle d’autres personnes, sauf s’ils disposent d’une option permettant de gérer plusieurs utilisateurs.
Des solutions correctives
Malgré le niveau de sophistication de cette méthode, les chercheurs ayant découvert cette technique indiquent que des solutions existent. La première consiste à améliorer les micros des appareils pour qu’ils puissent discerner les sons situés dans la bande de plus de 20 kHz. L’autre option est tout simplement d’utiliser un logiciel spécifique pour identifier les commandes « anormaux ». Par ailleurs, la résolution du problème exige aussi des modifications du système de fonctionnement de ces appareils pour qu’ils puissent transmettre des codes inaudibles pour l’oreille humaine.
