L’Agence française ANSSI vient de démontrer, avec deux de ses chercheurs, les risques liés aux commandes vocales des ordiphones. Les iPhones et les mobiles Android sont particulièrement vulnérables.
C’est une démonstration intéressante et étonnante qui a été menée par les deux chercheurs de l’ANSSI qui sont parvenus à prendre le contrôle d’un iPhone à l’aide des commandes vocales.
Les interférences électromagnétiques intentionelles présentent un risque non négligeable pour la sécurité des systèmes d’information. Jusqu’à présent, les risques en confidentialité, intégrité et disponibilité ont largement été abordés dans la littérature. La commande vocale est une interface homme-machine de plus en plus déployée et qui connait un fort succès pour des applications diverses. Dans cette perspective, les éditeurs et les fournisseurs de services ont tendance à étendre les fonctionnalités accessibles par cette interface. Cela ne doit en aucun cas se faire au détriment de la sécurité.
L’étude a permis d’une part, une mise en exergue de la criticité de cette interface. En effet, les fonctionnalités critiques exposées risquent d’être de plus en plus nombreuses. L’ANSSI attire l’attention des chercheurs en sécurité sur l’intérêt de développer la recherche sur l’interface vocale ainsi que celle des éditeurs sur la nécessité de considérer cette interface comme une nouvelle surface d’attaque afin de la sécuriser au mieux.
D’autre part, l’ANSSI montre qu’au delà des attaques en disponibilité, une utilisation élégante des interférences électromagnétiques intentionnelles peut donner lieu à des attaques plus abouties, comme l’exécution de commandes à distance.
La communauté scientifique, les éditeurs et les utilisateurs ont tous un rôle important à jouer pour intégrer la commande vocale au quotidien en rendant cette interface pratique, intuitive, et sécurisée.
Pour en savoir plus et découvrir l’étude réalisée par les chercheurs de l’ANSSI :