Activer des fonctions et des requêtes ou piloter sa domotique depuis son smartphone ou son enceinte connectée font partie des fonctions mises en avant grâce la reconnaissance vocale et aux progrès des assistants numériques.

Des chercheurs ont cependant trouvé le moyen de pirater ce canal de médiation en titillant les micros miniaturisés des appareils électroniques à l'aide d'un faisceau laser.

Ce dernier peut simuler des commandes vocales interprétées sans distinction par les micros de type MEMS (Micro-Electro Mechanical System) des équipements et déclencher en retour des interactions qui peuvent devenir problématiques si cela permet de déverrouiller une porte ou un système de sécurité.

Google Home piratage

L'attaque exploite l'absence d'authentification préalable de l'auteur des commandes vocales (ou au pire l'absence de limite aux tentatives d'authentification) et elle peut fonctionner jusqu'à une centaine de mètres de distance.

La contrainte reste qu'il faut que le faisceau laser ait une ligne de visée directe sur l'objet à pirater, même si les chercheurs relèvent que ce n'est pas insurmontable entre deux immeubles si la cible est visible depuis une fenêtre.

  

L'attaque n'est pas forcément discrète puisque l'utilisateur victime d'une tentative de piratage pourra éventuellement voir le faisceau laser pointé sur son appareil ou s'étonner d'une réaction de ce dernier (lumière et réponse vocale) en cas de piratage. Il est cependant possible d'utiliser un faisceau laser infrarouge plus discret.

Cette attaque baptisée Light Commands a été testée sur un petit nombre d'appareils électroniques mais elle devrait en concerner un grand nombre, les micros MEMS étant répandus.

Le site Ars Technica relève que les chercheurs à l'origine de cette découverte n'en comprennent pas pour autant complètement le mécanisme physique qui fait réagir les capteurs MEMS au faisceau laser comme s'il s'agissait de commandes vocales.

Source : Ars Technica