Quand des spécialistes transforment l’enceinte connectée d’Amazon en mouchard

Les équipes de CheckMarkx, une entreprise de cybersécurité israélienne ont développé une application téléchargeable dans le store de l’Amazon Echo, permettant de transformer l’enceinte connectée en mouchard.

Sous la forme d’une calculatrice, ce logiciel est en fait une « compétence » (« skill » en anglais) qui s’appuie sur une faille de sécurité. Cette application a été modifiée de sorte qu’elle puisse permettre de prolonger une action pour laquelle le microphone de l’enceinte est actif. De ce fait, l’enceinte peut devenir un véritable mouchard pouvant ainsi enregistrer, mais aussi envoyer à l’écrit, ce qui a été capturé par le biais de son microphone, vers les serveurs de CheckMarx. Ceci n’était qu’une expérience. Depuis, Amazon a résolu cette faille.

Avant d’installer un objet connecté embarquant un micro, il faut être sûr de savoir comment il fonctionne. En ce qui concerne l’enceinte Echo, elle se déclenche lorsqu’elle entend le mot-clé « Alexa ». Tant que ce mot d’activation n’a pas été prononcé, l’appareil écoute, mais n’envoie rien de ce qu’il entend. Lorsque l’enceinte entend « Alexa », elle fait transiter le message capté dans le cloud pour être analysé.

Les marques qui commercialisent des enceintes intelligentes telles qu’Apple, Amazon, ou encore Google assurent que les données sont chiffrées. Cependant, il n’y a pas que les enceintes connectées qui sont dotées de microphones. Les ordinateurs, smartphones et tablettes aussi. C’est pourquoi la CNIL conseille aux utilisateurs d’objets connectés, de bien éteindre leur micro lorsqu’ils n’en font pas l’usage.