Les pirates peuvent prendre le contrôle de Cortana avec des commandes vocales, et vous ne l'entendrez pas venir

Accueil » Cortana

Icône de temps de lecture 3 minute. lis

Icône de calendrier Publié le

by Michel Allison 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Les assistants vocaux font fureur de nos jours dans le monde de la technologie, Apple en a un, Google en a un, Microsoft en a un, Amazon en a un, Samsung en a un, etc. Ils ne sont toujours pas très utiles à ce stade et la plupart des gens ne le feraient pas. Faites attention s'ils disparaissent, et selon un document de sécurité récemment publié, ils pourraient même constituer une vulnérabilité du système.

Grâce à un hack bon marché appelé Dolphin Attack (pour des raisons qui apparaîtront rapidement) avec 3 $ d'équipement, les chercheurs en sécurité ont pu prendre le contrôle de Google Assistant, Alexa et Cortana, entre autres, et émettre des commandes vocales inaudibles qui ont ensuite été exécutées. Même si le concept de commandes vocales inaudibles ressemble à un oxymore, ce n’est pas le cas. Les assistants vocaux prêtent attention à une large gamme de fréquences, y compris celles aussi basses que la plage de 20 kHz (les humains ne peuvent pas les entendre), mais les machines le peuvent.

En gardant cela à l’esprit, le hack fonctionne comme ceci, il envoie des commandes vocales à des fréquences ultrasoniques au PC, ce qui signifie que les humains normaux ne pourront pas entendre ces commandes, contrairement aux PC et aux assistants vocaux.

Les chercheurs ont répertorié des exemples d’actions qu’ils ont pu réaliser, simplement par commandes vocales. Ceux-ci inclus:

  1. Visiter un site Web malveillant. L'appareil peut ouvrir un fichier malveillant
    site Web, qui peut lancer une attaque par téléchargement ou
    exploiter un appareil présentant des vulnérabilités de 0 jour.
  2. Espionnage. Un adversaire peut faire démarrer l'appareil de la victime
    appels vidéo/téléphoniques sortants, permettant ainsi d'accéder au
    image/son de l’environnement de l’appareil.
  3.  Injecter de fausses informations. Un adversaire peut donner des instructions à la victime
    appareil pour envoyer de faux messages texte et e-mails, pour publier
    de fausses publications en ligne, pour ajouter de faux événements à un calendrier, etc.
  4.  Déni de service. Un adversaire peut injecter des commandes pour tourner
    en mode avion, déconnectant toutes les communications sans fil.
  5.  Dissimulation des attaques. L'affichage de l'écran et le retour vocal
    peut exposer les attaques. L'adversaire peut diminuer le
    chances en atténuant l'écran et en baissant le volume.

Microsoft a étendu la puissance de Cortana pour inclure des fonctionnalités système telles que éteindre l'ordinateur, le redémarrer ou même le verrouiller, et la fonctionnalité de base de Cortana lui permet de lancer des programmes sans confirmation. Vous pouvez également utiliser Cortana pour appeler. Bien que vous ne puissiez probablement pas faire autant de dégâts en utilisant Cortana seul sur un PC Windows moyen, il s'agit toujours d'un oubli de sécurité extrêmement facile à contourner, en particulier avec les assistants vocaux de nos téléphones. ordinateurs et appareils électroménagers.

Nous avons contacté Microsoft pour obtenir ses commentaires et mettrons à jour cet article s'ils répondent.

En savoir plus sur les sujets : Cortana, sécurité, fenêtres 10

Michel Allison

Michel Allison bouclier

Rédacteur en chef

Rédacteur principal chez @MSpoweruser. Écrit sur tous les Windows 10, Skype, Surface, Edge. Couvre également l'actualité des médias sociaux.