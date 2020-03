Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les assistants vocaux sont censés vous faciliter la vie, mais ils peuvent également faciliter le vol de vos données par une personne déterminée. Un groupe de chercheurs américano-chinois a conçu une attaque baptisée SurfingAttack qui utilise des ondes ultrasonores pour déclencher Siri, Google Assistant et Bixby. L’équipe a pu demander des informations personnelles et passer des appels téléphoniques sans accès physique au téléphone.

Dans le passé, les chercheurs en sécurité ont montré que les ondes ultrasonores et les lasers pouvaient déclencher des assistants vocaux dans les bonnes conditions. Cependant, les appareils devaient être positionnés de certaines manières et l’équipement était bien visible. SurfingAttack est une approche beaucoup plus subtile car le matériel se cache sous une table.

Lorsque l’appareil cible est placé sur la surface, un disque piézoélectrique circulaire de 5 $ sur la face inférieure peut transmettre des commandes au téléphone. Il peut utiliser la phrase de déclenchement pour réveiller l’assistant, puis demander des informations ou lancer des appels. L’équipe a utilisé un ordinateur portable avec un logiciel de synthèse vocale pour envoyer les commandes souhaitées au réseau ultrasonique via Wi-Fi ou Bluetooth. Le disque n’est qu’à 17 pouces du téléphone, mais le dessus de table cache le matériel de la cible. De plus, les ondes ultrasonores sont hors de portée de l’audition humaine.

Les chercheurs ont pu prendre des photos, lire des SMS et passer des appels vers n’importe quel numéro de téléphone – un attaquant pourrait l’utiliser pour balayer des codes d’authentification à deux facteurs ou faire appeler des numéros de téléphone à tarif majoré.

La cible n’a peut-être aucune idée que son téléphone fuit des informations si elle ne les regarde pas directement. Cependant, l’équipe devait enregistrer la sortie audio du téléphone pour voler des données, et le son avertirait sûrement toute personne assise près du téléphone. La solution était de dire à l’assistant vocal de régler la sortie audio au niveau minimum. Un microphone sensible sous la table pourrait enregistrer les réponses de l’assistant sans alerter les personnes à proximité.

SurfingAttack fonctionne sur presque tous les appareils avec un assistant vocal activé. L’équipe a testé des téléphones d’Apple, Google, Samsung, Motorola, Xiaomi et Huawei – 17 modèles en tout, et 15 d’entre eux étaient vulnérables. La meilleure façon de vous protéger contre les attaques ultrasoniques comme celle-ci est de garder votre téléphone ou de désactiver la phrase de déclenchement de l’assistant.

