Amazon Alexa : de sérieux problèmes de sécurité dans les Skills
L'assistant vocal d'Amazon, Alexa, peut apprendre de nouvelles compétences et prendre en charge des commandes vocales supplémentaires grâce aux Skills. Chaque utilisateur est libre d'activer les Skills qui l'intéressent, en fonction de ses centres d'intérêt et des appareils connectés qu'il a à la maison. Pour des raisons de sécurité, Amazon filtre certaines fonctions spéciales, mais il s'avère que certains hackers sont parvenus à passer outre ces contrôles de sécurité.
Une équipe de chercheur en sécurité de l'Institut Horst Görtz affirme que les Skills représentent des failles de sécurité et des problèmes de protection des données de l'utilisateur.
Amazon développe des Skills de son côté, et les éditeurs externes peuvent aussi proposer des Skills. Au total, il y a plus de 90 000 Skills disponibles dans le catalogue d'Alexa. Les chercheurs de l'équipe de Christopher Lentzsch et du Dr Martin Degeling, ont pu récupérer l'ensemble de ces Skills pour les analyser.
Des Skills seraient publiées sous de fausses identités, par exemple les constructeurs automobiles mettent à disposition des commandes vocales pour leurs systèmes intelligents. Dans certains cas, ce n'est pas l'entreprise directement qui a publié la Skill, mais des personnes malintentionnées.
En fait, Amazon vérifie toutes les compétences proposées dans un processus de validation bien défini, mais il semble y avoir un trou dans la raquette quand il s'agit de vérifier une Skill qui correspond déjà à une Skill avec un nom et des fonctions existantes.
Les chercheurs ont pu publier une Skill au nom d'une grande entreprise. Résultat, derrière il est possible de collecter des informations au sujet des utilisateurs. Les utilisateurs sont clairement trompés grâce aux informations qui reprennent celles du constructeur, comme s'il s'agissait d'une Skill officielle. Néanmoins, les hackers ne peuvent pas accéder aux données chiffrées directement et exécuter des actions à distance, par exemple l'ouverture des portes de la voiture s'il s'agit d'une voiture dite intelligente.
Il y a un autre problème : une Skill validée et publiée pourrait être modifiée par la suite. Il serait envisageable de demander à l'utilisateur son numéro de carte bancaire pour continuer à utiliser la compétence. Enfin, il n'y aurait que 24,2% des Skills qui auraient une politique de confidentialité, ce qui est inquiétant d'autant plus qu'il y a de nombreuses Skills qui s'adressent aux enfants et au domaine de la santé et de la remise en forme. En fait, Amazon n'exige pas de politique de confidentialité pour les Skills ciblant les enfants de moins de 13 ans.
Les chercheurs ont pu faire part de leurs travaux à Amazon : désormais, la balle est dans le camp du géant américain qui affirme chercher des solutions.