Les microphones de nos appareils intelligents ne sont pas seulement sensibles au son, mais également à la lumière. Un défaut qui permet d’injecter des commandes à distance par rayon laser.
Si vous possédez une enceinte connectée à commande vocale, telle que les Google Home, Amazon Echo ou Apple HomePod, ne la placez pas trop près d’une fenêtre… Un pirate situé aux alentours pourrait en effet injecter des commandes dans votre appareil en pointant un faisceau laser sur son microphone. Il pourrait ainsi effectuer des achats en ligne à votre insu ou piloter les éventuels objets connectés de votre maison. Il pourrait même ouvrir la porte d’entrée ou celle du garage, si celles-ci sont connectées à l’assistant et que l’accès est mal ou pas du tout protégé.
Ce type d’attaque, baptisée « Light Commands », a été découvert par une groupe de chercheurs de l’université du Michigan et de l’université de communications électroniques de Tokyo.
Il s’appuie sur un défaut matériel des microphones microélectromécaniques (Microelectromechanical systems, MEMS), qui se trouvent actuellement dans tous les appareils à commandes vocales usuels : enceintes connectées, smartphones, tablettes, ordinateurs portables, etc. Ces microphones sont composés d’un diaphragme qui se déforme au son, c’est-à-dire à l’arrivée d’une onde de pression. Cette déformation est ensuite convertie en signal électrique par le biais d’un circuit intégré.
Mais les chercheurs ont découvert qu’il n’y avait pas que le son qui était capable de faire vibrer le diaphragme, mais aussi la lumière. Si l’on pointe sur cette petite membrane un faisceau laser modulé en amplitude avec une certaine fréquence, le microphone restitue un signal électrique avec la même fréquence ! Le laser permet donc d’injecter de manière précise un signal dans le système en passant par le microphone. C’est étrange, mais c’est possible.
Moins de 700 euros suffisent
Cette injection a été testée avec succès sur près d’une vingtaine d’appareils : Google Home/Home mini, Nest Cam IQ, sept modèles d’Amazon Echo, Facebook Portal, Fire Cube TV, iPhone XR, iPad 6, Samsung Galaxy S9 ou encore, Google Pixel 2.
Les tests des chercheurs montrent que ce type d’attaque est faisable pour un investissement matériel limité. Il suffit d’avoir un pointeur laser à faible puissance (~15 euros) et de le relier à un circuit de contrôle (~300 euros) qui va prendre en charge la modulation.
Enfin, le pirate doit avoir un PC portable et un amplificateur (~30 euros) pour injecter les commandes vocales. Il peut également se doter d’un téléobjectif (~300 euros) pour réaliser son attaque à plus grande distance. Au total, moins de 700 euros peuvent suffire.
Les chercheurs ont réalisés plusieurs vidéos de démonstration assez impressionnantes. Dans l’une d’elles, ils arrivent à injecter la commande « OK Google quelle heure est-il ? » sur une enceinte Google Home située à plus d’une centaine de mètres.
Dans une autre vidéo, ils arrivent à provoquer l’ouverture d’une porte de garage en émettant un faisceau laser depuis un bâtiment voisin.
Que risque-t-on avec ce type d’attaque ? Cela dépend du niveau de protection des objets connectés. Sur les smartphones et les tablettes, l’injection de commandes est plus difficile, car l’assistant vocal procède d’abord à une reconnaissance vocale de l’utilisateur. Mais si le pirate dispose d’enregistrements de la victime, l’attaque reste possible.
Pour les enceintes connectés, c’est beaucoup plus simple. Les chercheurs constatent que sur ces appareils, la reconnaissance vocale n’est pas disponible ou est désactivée par défaut. Quant aux objets qui peuvent être pilotés au travers des assistants vocaux, la situation est très variable. Le dispositif d’ouverture de garage testé plus haut, par exemple, était accessible sans aucune authentification.
Attaque par force brute sur les serrures
Certaines serrures connectées sont protégées par un code PIN, mais l’implémentation peut être vulnérable. Ainsi, les serrures August Smart Lock Pro que les chercheurs ont testées, ne propose aucune protection contre l’attaque par force brute. Le pirate peut faire autant de tentatives qu’il le souhaite et, au bout d’un temps, trouver le code secret. Dans le cas d’un code à quatre chiffres, cela peut être fait en moins de 36 heures.
Aucune authentification n’est par ailleurs nécessaire pour l’application « EV Car », qui permet de déverrouiller ou de géolocaliser une Tesla. De son côté, l’application « Ford Pass », qui propose des fonctionnalités similaires pour les voitures Ford, demande un code PIN pour les actions les plus sensibles, comme le démarrage ou le déverrouillage. Malheureusement, il n’y a, là encore, aucune protection comme les attaques par force brute.
Comment se protéger contre un tel piratage ? En tant qu’utilisateur, la seule chose à faire est de placer l’appareil dans un endroit relativement abrité et inaccessible pour un faisceau laser provenant de l’extérieur. Les fabricants, de leur côté, pourraient implémenter plusieurs microphones – ce qui est déjà le cas sur plusieurs modèles d’enceinte. Si l’un d’entre eux subit une injection de commandes par laser, l’incohérence du signal avec les autres microphones permettrait de détecter et stopper l’attaque.
Ce n’est pas la première fois que des chercheurs trouvent des moyens insolites pour pirater les enceintes connectés. En 2017, des hackers ont montré que l’on pouvait injecter des commandes en utilisant des ultrasons.
Source : 01net