Les assistants vocaux peuvent proposer bien des services aux utilisateurs, mais ils sont également parfois un véritable maillon faible dans la sécurisation des terminaux.
On avait déjà pu voir comment Siri pouvait permettre d'accéder à certaines données d'un iPhone pourtant verrouillé par le passé, et Cortana ferait de même sous Windows 10.
Des chercheurs en sécurité ont ainsi mis en évidence une faille dans Cortana et Windows 10. L'assistant vocal de Microsoft reste ainsi attentif aux requêtes vocales des utilisateurs même quand le PC est en mode veille et verrouillé, ce qui peut poser quelques problèmes. En insérant un adaptateur Ethernet USB sur la machine, on peut alors demander à Cortana de lancer un navigateur Internet et de visiter des sites n'exploitant pas la sécurisation https. Le pirate peut ainsi potentiellement mettre en oeuvre une attaque de type man in the middle et détourner le trafic vers un site malicieux pour forcer au téléchargement d'un malware.
Microsoft a été alertée du problème et a mis en oeuvre un correctif qui comble la faille et c'est désormais Bing qui gère les requêtes de visite de site depuis un ordinateur verrouillé, et non Cortana. Rappelons que Cortana a déjà fait l'objet de piratage par le passé, notamment avec la technique DolphinAttach impliquant l'envoi de commandes vocales inaudibles en ultrasons.
