amazon alexa hack données

Amazon Alexa : vos données et conversations exposées par des failles

Les chercheurs de Check Point ont découvert des failles de sécurité permettant à un hacker d’accéder aux données personnelles et aux enregistrements vocaux des utilisateurs d’Amazon Alexa. Une piqure de rappel quant aux risques de sécurité liés aux enceintes connectées…

Pratiques et accessibles, les assistants virtuels et enceintes connectés sont de plus en plus utilisés par le grand public. Malheureusement, ces appareils représentent aussi une nouvelle surface d’attaque pour les cybercriminels

Les chercheurs en sécurité de Check Point annoncent avoir découvert plusieurs vulnérabilités permettant potentiellement à des hackers de s’emparer des données personnelles des utilisateurs d’Amazon Alexa et notamment de leurs enregistrements vocaux

pCloud : l’offre familiale LIFETIME à -75% pour la rentrée !

Plus précisément, ces failles de sécurité étaient liées à des sous-domaines de services web Alexa. Les domaines étaient vulnérables au  » Cross-Site Scripting  » et au  » Cross Original Resource Sharing « .

Les failles Alexa corrigées par Amazon… mais en existe-t-il d’autres ?

Pour exploiter ces failles, un hacker aurait toutefois dû compléter plusieurs étapes. Il serait tout d’abord nécessaire de piéger un utilisateur pour qu’il clique sur un lien. Ce lien l’aurait dirigé vers le domaine  » track.amazon.com « , à partir duquel du code aurait pu être injecté par le pirate.

Une fois ce code injecté, une requête peut être envoyée à une autre page Amazon, avec les  » cookers  » de la victime afin d’obtenir une liste de tous les  » skills  » Alexa installés sur son compte et un token  » Cross-Site Request Forgery « .

Ce token permettrait au malandrin de remplacer un  » skill  » de la liste de sa victime par un  » skill  » malveillant qui s’activerait à la première tentative d’utilisation. Le hacker profiterait alors d’un accès à l’historique d’enregistrements vocaux de l’utilisateur et à son nom d’utilisateur, son adresse postale et son numéro de téléphone.

Fort heureusement, les chercheurs de Check Point ont contacté Amazon qui s’est chargée de corriger ces failles. Néanmoins, cette découverte démontre que les enceintes connectées peuvent ouvrir l’accès à des données personnelles particulièrement sensibles pour les hackers.

Vous n’avez probablement pas envie que les GAFAM écoutent votre vie privée, mais cela peut devenir encore plus embarrassant si les pirates s’immiscent également. Il est très important que les fabricants prennent des mesures pour éviter un tel risque, et que les utilisateurs se servent de ces appareils en tenant compte d’un potentiel danger…