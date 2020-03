Les assistants vocaux permettent aux utilisateurs de smartphones de prendre une photo ou d’envoyer un texte avec une commande vocale. Pourtant, ils peuvent également laisser les pirates informatiques faire la même chose en bombardant le microphone de l’appareil avec des ondes ultrasonores (sons avec des fréquences plus élevées que ce que les humains peuvent entendre). Les chercheurs ont déjà montré comment ils pouvaient tromper un téléphone en envoyant ces ondes dans les airs, mais l’approche nécessitait la proximité de la victime et était facilement perturbée par des objets à proximité. Maintenant, une nouvelle technique appelée SurfingAttack peut envoyer des ondes ultrasonores à travers des objets solides. Il pourrait permettre aux espions potentiels d’éviter les obstacles et d’effectuer des tâches plus invasives, notamment de voler des SMS et de passer des appels depuis le téléphone d’un inconnu.

Pour tester cette méthode, les chercheurs ont caché un dispositif d’attaque contrôlable à distance sur le dessous d’une table en métal, où il pourrait envoyer des ondes ultrasonores à travers la table pour déclencher un téléphone à plat sur sa surface. «Nous utilisons des matériaux solides pour transmettre ces ondes ultrasonores», explique Qiben Yan, informaticien à la Michigan State University. «Nous pouvons activer votre assistant vocal placé sur la table, lire vos messages privés, extraire les codes d’authentification de votre téléphone ou même appeler vos amis.» L’expérience, décrite dans un document présenté au Symposium 2020 sur la sécurité des réseaux et des systèmes distribués (NDSS) en février, a fonctionné sur 17 modèles de smartphones populaires, y compris ceux fabriqués par Apple, Google, Samsung, Motorola, Xiaomi et Huawei.

Les assistants vocaux captent généralement les commandes sonores via le microphone d’un haut-parleur intelligent ou d’un appareil cellulaire. Il y a quelques années, les chercheurs ont découvert qu’ils pouvaient moduler les commandes vocales à la gamme de fréquences ultrasonores. Bien qu’inaudibles pour l’homme, ces signaux pourraient toujours fonctionner avec le système de reconnaissance vocale d’un appareil. Un hack ultrasonique, présenté lors d’une conférence sur la sécurité informatique en 2017, a utilisé ces commandes «silencieuses» pour obliger l’assistant d’Apple, Siri, à lancer un appel FaceTime et pour dire à Google Now d’activer le mode avion d’un téléphone. Ce type d’intrusion reposait sur un haut-parleur placé à un maximum de cinq pieds de l’appareil de la victime, mais une technique ultrasonique ultérieure présentée lors d’une conférence de mise en réseau en 2018 a augmenté la distance à environ 25 pieds. Pourtant, toutes ces techniques ont envoyé leurs signaux dans les airs, ce qui présente deux inconvénients: elle nécessite des haut-parleurs ou des réseaux de haut-parleurs visiblement visibles. Et tout objet se trouvant entre la source du signal et le périphérique cible peut perturber l’attaque.

L’envoi de vibrations ultrasoniques à travers des objets solides permet à SurfingAttack d’éviter ces problèmes. “L’environnement affecte notre attaque beaucoup moins efficacement, dans notre scénario, que dans les travaux antérieurs en direct”, explique Ning Zhang, informaticien à l’Université de Washington à St. Louis. Avec les ondes ultrasonores aéroportées, “si quelqu’un passe, disons à l’aéroport ou au café, ce signal serait bloqué – par rapport à notre attaque, peu importe le nombre de choses placées sur la table.” De plus, notent les chercheurs, leur méthode est moins visible et consomme moins d’énergie qu’un haut-parleur à air car ses ondes ultrasonores émanent d’un petit appareil qui colle au bas d’une table. Yan estime que sa construction pourrait coûter moins de 100 $. Une autre caractéristique de SurfingAttack est qu’il peut à la fois envoyer et recevoir des signaux ultrasoniques. Cette disposition lui permet d’extraire des informations, telles que des messages texte, en plus de commander au téléphone d’effectuer des tâches.

“Je pense que c’est un document vraiment fascinant, car maintenant [such hacking] n’a pas besoin de la propagation dans l’air des signaux », explique Nirupam Roy, professeur adjoint d’informatique à l’Université du Maryland, College Park, qui n’a pas contribué à la nouvelle étude. Il loue également les mesures prises par les chercheurs pour garantir que le signal ultrasonique traversant la table ne produise aucun bruit susceptible d’alerter le propriétaire du téléphone. «Toute surface vibrante, même le signal qui traverse le solide, peut laisser échapper un certain signal audible dans l’air. Ils ont donc montré quelques techniques pour minimiser cette fuite audible et la garder vraiment inaudible pour le [phone’s] utilisateur.”

Pour éviter de devenir la proie de mauvais acteurs, les chercheurs suggèrent que les propriétaires de téléphones pourraient limiter l’accès qu’ils donnent à leurs assistants IA. Ce qu’un attaquant peut faire “dépend vraiment de la quantité d’utilisateurs qui dépendent de l’assistant vocal pour effectuer les activités quotidiennes”, explique Zhang. “Donc, si vous donnez à votre Siri l’accès à votre pancréas artificiel pour injecter de l’insuline, alors [you’re in] gros problème, car on peut lui demander d’injecter une quantité ridicule d’insuline. Mais si vous êtes une personne plus prudente et que vous dites: “Hé, je veux seulement que Siri puisse poser des questions sur Internet et me raconter des blagues”, alors ce n’est pas grave. “

Une autre façon d’empêcher SurfingAttack, en particulier, serait d’emmailloter son appareil dans un étui en mousse visqueux ou de le placer uniquement sur des surfaces recouvertes de tissu. Ces matériaux ont étouffé le signal ultrasonore plus efficacement que les étuis de téléphone en caoutchouc courants, ce qui n’a pas empêché les piratages réussis. Une solution plus efficace, cependant, pourrait consister à simplement éviter de poser son téléphone dans les espaces publics. «Beaucoup de gens placent simplement leurs téléphones sur la table sans y faire attention», explique Yan. «Je viens d’un aéroport de Chicago. J’ai vu beaucoup de gens mettre leurs téléphones [down to charge] sur une table en métal, sans surveillance. “

Mais Zhang est moins préoccupé par le fait que des appareils à ultrasons soient plantés sur des tables publiques aléatoires, car cette approche nécessiterait beaucoup plus de travail que, par exemple, l’envoi d’un e-mail de phishing. «D’après mon expérience antérieure dans l’industrie, une attaque demande généralement beaucoup d’efforts», dit-il. “Et si ça ne vaut pas le coup, personne ne le ferait.” Les pirates informatiques ne prendraient pas la peine de développer et de programmer des appareils SurfingAttack à moins qu’ils ne soient très motivés à extraire des informations d’une personne spécifique, suggère Zhang, “donc je ne pense pas que nous verrons beaucoup de gens attacher des haut-parleurs à ultrasons ci-dessous. [a coffee shop] table.”

Que SurfingAttack pénètre ou non dans le monde quotidien, son existence pourrait servir d’avertissement aux développeurs d’assistants vocaux. Comme l’explique Roy, des expériences comme celle-ci servent à «révéler un nouveau type de menace». Ces études reposent généralement sur des expériences qui ont lieu dans des laboratoires, ce qui signifie que l’environnement est plus contrôlé qu’il ne le serait dans la vie réelle. Mais le réalisme complet n’est pas le but. Au lieu de cela, une recherche comme celle-ci vise à exposer les vulnérabilités en principe, afin que les développeurs puissent les corriger avant que les pirates ne les trouvent. “Les chercheurs qui s’efforcent de révéler ce type d’attaques plus tôt, avant l’attaquant, font un travail fantastique pour identifier ces failles dans notre système”, dit-il.