Alexa Skills: lacunes de sécurité et problèmes de protection des données

Nous prenons soin de vos données privées

Nous et nos partenaires utilisons des technologies comme les cookies et des données comme les adresses ip ou des informations provenant des navigateurs pour personnaliser nos conseils ou les publicités que vous pouvez voir. Cela nous aide à vous montrer du contenu adapté et améliorer votre expérience de navigation sur notre site. Nous utilisons également des résultats d'indicateurs pour adapter le contenu de notre site web. Aussi, parce que nous prennons soin à vos données privées, nous vous demandons la permission d'utiliser ces technologies. Vous pourrez toujours changer d'avis plus tard en annulant votre consentement en cliquant sur le lien en bas à droite de la page.

Ce lien, permet d'en apprendre davantage..

Alexa Skills: lacunes de sécurité et problèmes de protection des données

Plus de 90000 compétences analysées

Dans leur étude, les chercheurs autour de Christopher Lentzsch et du Dr Martin Degeling ont étudié pour la première fois l'écosystème d'Alexa Skills. Ces commandes vocales sont développées non seulement par la société de technologie américaine Amazon elle-même, mais également par des fournisseurs externes. Les utilisateurs peuvent les télécharger directement dans un magasin exploité par Amazon et, dans certains cas, ils sont également activés automatiquement par Amazon.

Les chercheurs ont obtenu et analysé 90 194 compétences dans les magasins de sept plates-formes nationales. Ils ont trouvé des lacunes importantes pour une utilisation sûre.

«Un premier problème est qu'Amazon a partiellement activé automatiquement les Skills depuis 2017. Auparavant, les utilisateurs devaient accepter l'utilisation de chaque Skill. Maintenant, ils ont à peine une vue d'ensemble de l'origine de la réponse qu'Alexa leur donne et de qui l'a programmée en premier lieu », explique le Dr Martin Degeling de la Chaire RUB de la sécurité des systèmes.

Malheureusement, il est souvent difficile de savoir quelle compétence est activée et à quel moment. Par exemple, si vous demandez un compliment à Alexa, vous pouvez obtenir une réponse de 31 fournisseurs différents, mais il n'est pas immédiatement clair lequel est automatiquement sélectionné. Les données nécessaires à la mise en œuvre technique des commandes peuvent être involontairement transmises à des fournisseurs externes.

Publier de nouvelles compétences sous une fausse identité

«De plus, nous avons pu prouver que Skills peut être publié sous une fausse identité. Des constructeurs automobiles bien connus, par exemple, mettent à disposition des commandes vocales pour leurs systèmes intelligents. Les utilisateurs les téléchargent en croyant que l'entreprise elle-même a fourni ces compétences. Mais ce n'est pas toujours le cas », déclare Martin Degeling.

Bien qu'Amazon vérifie toutes les compétences proposées dans un processus de certification, ce que l'on appelle le squattage de compétences, c'est-à-dire l'adoption de noms et de fonctions de fournisseurs déjà existants, n'est souvent pas perceptible.

«Lors d'une expérimentation, nous avons pu publier Skills au nom d'une grande entreprise. Les informations précieuses des utilisateurs peuvent être exploitées ici », explique le chercheur. Ainsi, si un équipementier automobile n'a pas encore développé une compétence pour son système intelligent dans la voiture pour activer ou désactiver la musique dans la voiture, par exemple, les attaquants pourraient le faire sous le nom du fournisseur.

«Ils peuvent exploiter la confiance des utilisateurs dans le nom bien connu et dans Amazon pour puiser dans des informations personnelles telles que les données de localisation ou le comportement des utilisateurs», explique M. Degeling. Les criminels, cependant, ne pouvaient pas accéder directement aux données cryptées ou modifier les commandes avec une intention malveillante dans ce processus pour manipuler la voiture intelligente, par exemple pour ouvrir les portes de la voiture.

Contourner le contrôle de sécurité d'Amazon

Les chercheurs ont également identifié un autre risque de sécurité: «Notre étude a également montré que les compétences pouvaient être modifiées par les prestataires par la suite», explique Lentzsch.

Cette vulnérabilité place la sécurité du processus de certification précédent d'Amazon dans une autre perspective. «Les attaquants pourraient reprogrammer leur commande vocale après un certain temps pour demander les données de carte de crédit des utilisateurs, par exemple», explique Lentzsch.

Les tests d'Amazon attrapent généralement ces invites et ne les autorisent pas - l'astuce consistant à modifier le programme par la suite peut contourner ce contrôle. En faisant confiance au nom du fournisseur abusé et à Amazon, de nombreux utilisateurs pourraient être trompés par cette astuce.

Déclarations de protection des données insuffisantes

Outre ces risques de sécurité, l'équipe de recherche a également identifié des lacunes importantes dans les déclarations générales de protection des données pour les compétences.

Par exemple, seulement 24,2% des compétences ont une soi-disant politique de confidentialité, et encore moins dans les domaines particulièrement sensibles de «Enfants» et «Santé et remise en forme». «Surtout ici, il devrait y avoir de fortes améliorations», dit Degeling.

Amazon a confirmé certains des problèmes à l'équipe de recherche et dit travailler sur des contre-mesures.

Publié le : 03.03.2021

Auteur : estacado

Rejoindre la conversation

S'authentifier pour participer