Pour gérer vos consentements :

DolphinAttack utilise les ultrasons pour attaquer Siri, Alexa, Cortana, etc.

Si les systèmes de reconnaissance vocale dotés d’algorithmes d’intelligence artificielle (IA) sont supposés assister leurs utilisateurs au quotidien, ils pourraient bien se transformer en complice des pirates. Des chercheurs ont découvert comment piloter les Siri, Google Assistant/Now, Alexa et autre Cortana à l’aide d’ultrason, une fréquence inaudible pour l’oreille humaine.

Selon les chercheurs de l’université Zhejiang en Chine, il suffit avec l’attaque DolphinAttack de moduler la fréquence à 20 000 Hz pour prendre le contrôle des assistants vocaux.

« L’idée fondamentale de DolphinAttack est (a) de moduler le signal vocal en basse fréquence sur un support ultrasonique avant de le transmettre par les airs, et (b) de démoduler les signaux vocaux modulés avec le matériel de capture vocale du récepteur », écrivent les scientifique dans leur publication.

Pour s’en convaincre, les chercheurs ont testé leur attaque sur 16 systèmes de reconnaissance vocale dont Siri sur un iPhone (voir vidéo ci-dessous), Amazon Echo, Google Now et un véhicule connecté, une Audi en l’occurrence. Ils ont ainsi pu prendre le contrôle du système de navigation de la voiture, jouer de la musique sur Echo et ouvrir Facetime sur l’iPhone.

Plus grave, DolphinAttack permet de lancer des commandes pour naviguer sur un site malveillant afin de tenter d’exploiter des failles du système embarqué par le périphérique.

Des conditions d’attaques contraignantes

L’attaque nécessite néanmoins des conditions qui réduisent sa faisabilité. L’émetteur du signal ultrasonique doit se trouver à moins de 2 mètres. L’assistant doit avoir été débloqué et son système de reconnaissance vocale activé, bien entendu.

Qui plus est, le fait qu’il se mette à fonctionner de manière autonome mettra la puce à l’oreille de son utilisateur légitime (s’il est présent à ce moment là). Et si un chien (ou un chat encore plus sensible aux ultrasons) rode dans le coin, son comportement bizarre pourrait également sonner l’alarme.

Néanmoins, pour les universitaires, il s’agit d’une faille qu’il convient de combler pour éviter ce risque d’attaque. Ils invitent les constructeurs d’assistants à bloquer les commandes émises en ultrasons.

« Nous proposons des solutions de défense matérielle et logicielle., déclarent-ils. Nous confirmons qu’il est possible de détecter DolphinAttack en classant les sons à l’aide de la machine concernée et suggérons de redéfinir les systèmes contrôlables par la voix pour être résistants aux attaques de commande vocale inaudibles. »


Lire également
WireX : des centaines d’apps Android infectées au service d’un botnet
Comment s’acheter un MacBook pour 1 dollar via à une faille SAP
iPhone 7 : une boîte pour dérober les codes d’accès sur iOS 10 et 11

Recent Posts

OpenAI cherche des alternatives à Nvidia

Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…

4 heures ago

Cybersécurité : Innov8Learn propose des formations sur mesure aux TPE/PME

En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…

5 heures ago

Des grands projets aux enjeux d’avenir, une Dinum en manque de légitimité

La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…

1 jour ago

Beta.gouv, miroir des « résultats contrastés » de la Dinum

La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…

1 jour ago

Entre explications et remèdes, Crowdstrike en gestion de crise

Au cours du week-end, Crowdstrike a structuré une réponse face à l'incident majeur qu'a causé…

1 jour ago

Windows et Azure sont tombés : Crowdstrike à la source d’une panne informatique mondiale

Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…

4 jours ago