Avec plus de 200 millions d’unités vendues dans le monde, Alexa est capable d’interagir par la voix, de définir des alertes, de jouer de la musique et de contrôler des appareils intelligents dans un système de domotique. Les utilisateurs peuvent étendre les capacités d’Alexa en installant des « compétences », qui sont des applications vocales. Cependant, les informations personnelles stockées dans les comptes Alexa des utilisateurs et l’utilisation de l’appareil comme contrôleur de domotique en font une cible attrayante pour les pirates.

Des chercheurs de Check Point ont démontré comment les vulnérabilités qu’ils ont découvert dans certains sous-domaines d’Amazon/Alexa pourraient être exploitées par un pirate, en créant et en envoyant un lien malveillant qui semble provenir d’Amazon à un utilisateur cible. Lorsque l’utilisateur clique sur le lien, le pirate peut alors :

• Accéder aux informations personnelles de la victime, telles que l’historique des données bancaires, les noms d’utilisateur, les numéros de téléphone et l’adresse du domicile
• Extraire l’historique des échanges vocaux de la victime avec son dispositif Alexa
• Installer silencieusement des compétences (applications) sur le compte Alexa de la victime
• Consulter la liste complète des compétences de son compte Alexa de la victime
• Supprimer silencieusement une compétence installée

« Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de négliger la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos foyers. Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire, » déclare Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. « Nous avons mené cette étude afin de souligner combien la sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs. Heureusement, Amazon a réagi rapidement à notre communication pour corriger ces vulnérabilités dans les sous-domaines Amazon/Alexa. Nous espérons que les fabricants de dispositifs similaires suivront l’exemple d’Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs. Nous avons effectué auparavant des études sur Tiktok, WhatsApp et Fortnite. Alexa nous préoccupait depuis déjà un certain temps, étant donné son omniprésence et sa connexion à d’autres dispositifs de l’Internet des objets. Ce sont ces méga-plateformes numériques qui peuvent nous faire le plus de mal. Leur niveau de sécurité est donc d’une importance cruciale. »

Amazon a réglé ce problème peu après son signalement.