L’ANSSI sait hacker vos kits mains-libres pour contrôler Siri et Google Now

Des chercheurs de l’ANSSI ont réussi à prendre le contrôle de Siri et de Google Now en combinant la fonction antenne des kits mains-libres et le réveil par la voix des assistants.

C’est notre Agence nationale de la sécurité des systèmes d’information qui fait la une des Wired et The Verge aujourd’hui. Des chercheurs dirigés par Chaouki Kasmi ont découvert un moyen particulièrement intelligent et simple pour contrôler vos smartphones à distance, qu’ils tournent sur Android ou iOS.

http://www.wired.com/wp-content/uploads/2015/10/Demo_web_browsing.mp4

Le principe de ce hack est relativement simple, quand on y pense : la plupart des kits mains-libres peuvent faire office d’antenne (certains servent même, sur Android, à activer des fonctionnalités de radio). Les chercheurs français ont donc profité de cette double fonctionnalité pour envoyer des signaux électro-magnétiques convertis a posteriori en ondes sonores. Et comme désormais une bonne partie des smartphones dispose d’un assistant virtuel qui se déclenche à la voix (Hey Siri ! sur iOS et OK Google ! sur Android), les chercheurs ont pu donner des ordres aux appareils ciblés.

La méthode est intéressante puisqu’elle va permettre à un esprit malveillant qui voudrait l’utiliser de faire appeler des numéros ou d’envoyer des sms surtaxés. Pas de panique pour autant : cette méthode a été testée avec un appareil qui ne marchait pas au-delà de deux mètres. Wired précise d’ailleurs que pour arriver à cinq mètres de portée, il faudrait un dispositif grand comme une voiture : difficile de passer inaperçu avec cela.

On imagine mal également comment Google ou Apple pourraient corriger une telle faille.

Côté utilisateur, le hack ne fonctionne bien entendu que si les écouteurs branchés au smartphone disposent d’un micro, si l’assistant peut être activé sur l’écran d’accueil et si l’utilisateur ne remarque pas que son smartphone est en train de faire n’importe quoi en son absence. Car si l’attaque est discrète, tout le processus effectif sera affiché sur le smartphone comme si c’était l’utilisateur qui en avait le contrôle.

Réunir toutes les conditions semble donc difficile, mais on imagine mal également comment Google ou Apple pourraient corriger une telle faille, qui relève plus de comportements tiers permis par leurs services que d’un véritable défaut de conception du système. Pour les chercheurs de l’ANSSI, qui préparent en ce moment-même leur présentation de la stratégie cyberdéfense et cybersécurité à Manuel Valls, cette méthode peut « poser des problèmes de sécurité critiques », par exemple lors d’une attaque ciblée.