Faille de sécurité critique : un correctif en juillet pour les Google Home et Chromecast

Rénald Boulestin,

Google va remédier à la faille de sécurité touchant les Google Home et Chromecast qui permet de repérer la géolocalisation exacte des possesseurs de ces appareils.

Google a promis un correctif concernant une vulnérabilité d’authentification qui permet à des pirates d’obtenir les positions exactes où se trouvent des appareils Google Home ou Chromecast. Le correctif devrait arriver à la mi-juillet.

Une précision redoutable

Le problème en question a été décelé par Craig Young de Tripwire Green plus tôt dans le mois et signalé à Google bien avant toute publication.

Selon le chercheur en sécurité, il s’agit d’une faille d’authentification qui révèle des informations de localisation extrêmement précises sur les utilisateurs du haut-parleur intelligent Google Home et le dongle HDMI Chromecast. « J’ai été en mesure d’utiliser les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante« , a déclaré Craig Young dans une contribution de blog.

L’attaque fonctionne en demandant à l’appareil de Google une liste de réseaux sans fil à proximité, puis en envoyant cette liste aux services de recherche de géolocalisation de Google.

Une facilité déconcertante

Ainsi, en utilisant l’emplacement glané par les réseaux Wi-Fi à proximité via un Google Home ou un dongle Chromecast, un site Web malveillant peut trianguler l’emplacement d’un utilisateur. Or, ces périphériques nécessitent rarement une authentification de la part de tiers pour recevoir des données sur les réseaux locaux. De ce fait, des individus malveillants pourraient exploiter ces autorisations généreuses pour collecter ces données sensibles de géolocalisation.

Il est vrai que si des pirates peuvent facilement déjà obtenir des données de localisation par des moyens moins compliqués, tels que les adresses IP, ces informations ne sont pas très précises.

Ce qui rend cette faille de sécurité beaucoup plus inquiétante provient du fait que les données de géolocalisation de Google sont très précises. En effet, si les données de localisation IP de base ne permettent une géolocalisation qu’à quelques kilomètres, cette faille permet d’obtenir une précision à 10 mètres.

Ces données de géolocalisation pourraient notamment être ensuite utilisées pour du phishing.

L’attaque peut être menée depuis Linux, Windows ou macOS, tant que la cible utilise Firefox ou Chrome.

Très en vogue, les enceintes intelligentes pourraient donc devenir un nouvel eldorado pour les pirates. Avec des fonctions d’écoute en continu et, on le voit, de géolocalisation précise pour le Google Home, elles sont en effet très alléchantes.

(Crédit photo : @Google)