Recevez chaque jour toute l'actualité du numérique

x

Une vulnérabilité d'Alexa permettait d'accéder aux données personnelles des utilisateurs

Le spécialiste de la sécurité des systèmes d'information Check Point a detecté des failles de sécurité permettant à une personne malveillante d'accéder aux données personnelles détenue par Alexa, l'assistant vocal d'Amazon. Amazon a depuis corrigé ces failles.
Twitter Facebook Linkedin Flipboard Email
×

Une vulnérabilité d'Alexa permettait d'accéder aux données personnelles des utilisateurs
Une vulnérabilité d'Alexa permettait d'accéder aux données personnelles des utilisateurs © Amazon

Check Point a annoncé jeudi 13 août 2020 avoir découvert des failles de sécurité concernant Alexa, l'assistant vocal d'Amazon. L'entreprise, qui a découvert ces vulnérabilité en juin dernier, précise qu'elles ont été corrigées depuis par Amazon.

Historique d'enregistrement et données personnelles
A la fin de l'année, plus de 200 millions d'objets connectés utiliseront l'assistant vocal d'Amazon. Devant la popularité d'Alexa, Check Point a décidé de se pencher sur les éventuelles failles de sécurité du système. Le cabinet explique dans un communiqué être parvenu à trouver "des vulnérabilités dans certains sous-domaines d'Amazon/Alexa permettant à un hacker d'installer ou désinstaller des compétences sur le compte Alexa de la personne ciblée, accéder à son historique d'enregistrement et à ses données personnelles".

Ils ont trouvé ces vulnérabilités en faisant des tests avec l'application Alexa utilisée sur les smartphones. Check Point a découvert que plusieurs fonctionnalités de l'application avaient des paramètres mal configurés permettant d'envoyer des requêtes depuis n'importe quel sous-domaine d'Amazon. Le propriétaire de l'assistant vocal devait simplement accéder à une adresse provenant des systèmes d'Amazon, mais envoyé par le hacker. Ce dernier pouvait alors accéder aux données personnelles du propriétaire dès lors qu'il utilisait une des compétences d'Alexa. Le tout sans qu'il ne s'en rende compte.

Les enceintes connectées et assistants personnels contiennent énormément de données personnelles sur leurs propriétaires et peuvent contrôler des objets connectés présents dans leur maison. "Les hackers semblent les considérer comme étant des points d'entrée dans la vie des gens, leur offrant l'opportunité d'accéder à des données, d'écouter les conversations ou de mener d'autres actions malveillantes sans que les propriétaires ne se rendent compte", explique Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, dans un communiqué.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media