Piratage Google Home : des conversations privées sur écoute

Maurine Briantais
30/12/22 14:54

Les enceintes^[1] connectées peuvent-elles servir à de l’espionnage ? C’est la question que s’est posée Matt Kunze, un chercheur en sécurité informatique^[2], qui s’est livré à une expérience très instructive. Ainsi, en janvier 2021, il a découvert une étonnante faille de sécurité dans les enceintes^[1] connectées Google^[6] Home Mini – depuis rebaptisé Nest Mini –, comme le rapporte Bleeping Computer. Il a immédiatement prévenu la firme de Mountain View, qui l’a récompensé d’une somme de 107 500 dollars pour sa trouvaille et qui a corrigé le problème en avril 2021 via une mise à jour^[3] automatique. Ce n’est qu’en cette fin d’année 2022 que le chercheur a publié des détails techniques ainsi qu’un scénario d’attaque pour montrer comment la faille pouvait être exploitée. Ainsi, des pirates pouvaient prendre le contrôle de l’enceinte intelligente à distance et espionner les conversations autour d’elle en accédant au microphone. Heureusement, la manipulation était loin d’être simple et elle se limitait à un modèle d’appareil en particulier, ce qui a réduit le risque de piratage massif. mais elle pointe du doigt une potentielle utilisation malveillante de ces enceintes^[1] connectées, pourtant si pratiques, pour récolter des données privées…

Google Home Mini : un micro sous contrôle

Le chercheur a découvert que, sur une Google Home Mini, les nouveaux comptes utilisateurs ajoutés à partir de l’application Google^[6] Home étaient capables d’envoyer des commandes à distance depuis l’interface de programmation^[4] de l’application (API) dans le cloud. De quoi intéresser les personnes mal intentionnées ! Pour s’ajouter comme utilisateur sans avoir le mot de passe^[5] Wi-Fi de la victime, il suffisait de connaitre le nom de l’appareil, le certificat et l’identifiant cloud de l’API locale pour envoyer une demande de lien^[10] au serveur^[7] Google^[6] en reproduisant la demande de liaison dans un script Python. À partir de là, c’était la porte ouverte à toute sorte d’abus. Ces failles ont pu être exploitées depuis 2018, date à laquelle les routines planifiées ont été lancées.

En effet, l’enceinte permet d’effectuer toutes sortes de commandes dans la maison, comme déverrouiller à distance des serrures connectées, réaliser des achats en ligne, fermer ou ouvrir les volets – très pratique pour un cambriolage –, renommer l’enceinte, forcer son redémarrage, lui faire oublier les réseaux Wi-Fi^[8] stockés, forcer de nouveaux couplages Bluetooth ou Wi-Fi^[8] et lire des médias dessus. Mais, surtout, le pirate peut abuser de la commande « appeler [numéro de téléphone] » en l’ajoutant à une routine. Elle permet d’activer^[9] le micro en même temps que le lancement d’un appel vers le numéro du hacker, qui a ainsi tout le loisir d’écouter les conversations qui se déroulent autour de l’appareil compromis. Le seul moyen pour la victime de savoir que son appareil l’espionne est l’affichage en bleu de ses LED, qui clignotent lorsque le microphone est activé.

Heureusement, Google^[6] a depuis ajouté une protection pour empêcher le déclenchement de la commande à distance par des routines. C’est pourquoi, on ne le rappellera jamais assez, il est primordial de vérifier que les mises à jour de sécurité de ses appareils – et pas que le Google^[6] Home Mini – soient régulièrement faites. À noter que certains possèdent des fonctions pour bloquer physiquement l’accès à un microphone ou à la caméra.

Terms definitions

1. ↑ enceintes.

Les enceintes sont une partie du système de son. Elles permettent de diffuser le son, comme pour un téléviseur. Pour un son 2.1, les enceintes diffusent les sons aigus et moyens en stéréo (elles sont donc 2) et le caisson s'occupe des basses. Dans une installation 5.1 il y a 5 enceintes disposés dans tous les coins de la pièce. Elles vont reproduire un son en 3D.

Il existe énormément de variété pour l’équipement sonore. Des petits enceintes standard au gros groupe de son, vous en aurez pour tous les gouts. Il existe aussi des enceintes Bluetooth sans fil, pour donner de la voix à votre smartphone lors de vos déplacements. Vous pouvez équiper votre ordinateur en stéréo avec un caisson de basse, ou carrément en 5.1 pour un son type cinéma. Voici une enceinte portative sans fil pour accompagner vos mobiles : Voici un équipement sonore pour ordinateur :  

2. ↑ informatique.

L'informatique regroupe tout ce qui traite autour du traitement automatique de l'information : Internet, les ordinateurs, les télécommunications. Il existe des métiers très distincts dans le domaine informatique : webmaster, technicien maintenance, administrateur de serveur informatique...

Informatique est la compression entre information et automatique.

L’informatique moderne est née dans les années 70 avec l’avènement des premiers ordinateurs et les télécommunications, mais on concède à Alan turing les prémices de ce que sera l’informatique, avant la seconde guerre mondiale. Un très bon film à ce sujet, que je vous conseille, est Imitation Game. L’invention du transistor notamment, a permis une évolution fulgurante de l’informatique.

Voici à quoi ressemblaient les premiers ordinateurs, qui occupaient alors des salles entières :

Pour en savoir plus sur l’histoire de l’informatique, rendez-vous sur Wikipédia en cliquant ici.

3. ↑ mise à jour.

La mise à jour consiste à télécharger la version la plus récente d'un logiciel, d'un programme ou d'un système d'exploitation afin de bénéficier des dernières modifications et mesures de sécurité.

Faire les mises à jour de ses logiciels et appareils est très important car elles permettent de bénéficier des corrections les plus récentes.

En effet, lorsque des failles de sécurité sont repérées, les programmeurs les corrigent en incorporant des patchs (aussi appelés correctifs) à leurs programmes afin d’éviter que de potentiels virus exploitant ces failles ne puissent atteindre le logiciel en question.

Les mises à jour consistent donc à rendre vos systèmes plus sécurisé, plus performants et parfois même, plus ergonomiques.

Si vous disposez d’un ordinateur relié à Internet, vous pouvez faire les mises à jour automatiques de vos logiciels en utilisant des versions payantes, ou faire vos mises à jours gratuitement de façon manuelle (en allant dans les options de votre logiciel).

Pour les smartphones, les mises à jour sont souvent automatiques si vous avec une connexion 3G, 4G ou en Wi-fi.

Vous pouvez voir ici comment faire une mise à jour du système Android et ici pour faire les mises à jour sur des appareils IOS.

4. ↑ programmation.

Le rôle d'un développeur informatique est de programmer un logiciel, un site web. La programmation est le fait d'écrire des lignes de code (commandes en anglais) qui seront interprétées par l'ordinateur, ce qui donnera un logiciel capable d'afficher des choses à l'écran, recevoir, traiter et envoyer des informations.

Les métiers de l’informatique connaissent une forte explosion ces dernières années. Il est possible de développer des applications pour ordinateurs (PC, Mac), smartphones (Android, iOs) et appareils embarqués. Le rôle du développeur (celui qui programme) est de concevoir ces applications, en écrivant un code source, qui sera ensuite interprété et exécuté par l’ordinateur, c’est la programmation. Il existe de nombreux langages de programmations différents (PHP, C++, Swift, Java…). Si vous souhaitez savoir comment apprendre la programmation, cliquez ici.

Voici à quoi ressemble un code source :

5. ↑ mot de passe.

Le mot de passe permet de sécuriser les accès à votre ordinateur, sites web et applications. Généralement, il va de pair avec un nom d'utilisateur. Cette combinaison, connue que de vous seul, vous permet une confidentialité de vos informations. Votre mot de passe doit être difficile à deviner (évitez le nom de votre chien ou votre date de naissance) et de préférence différent pour chaque compte que vous créerez.

A chaque compte que vous créerez en ligne (sur le site de votre banque, sur une boutique en ligne, pour lire vos mails…) vous aurez besoin de créer un mot de passe.

Ne mettez jamais votre date d’anniversaire, le nom de votre chien ou de votre fils. Cela est trop facile à deviner. Optez pour un mot de passe combinant des chiffres et des lettres, et essayez de ne pas avoir le même mot de passe pour chaque compte utilisateur.

Plus le mot de passe est fort, plus il sera difficile à deviner.

Quand vous tapez un mot de passe sur Internet, il ne sera pas affiché, pour chaque caractère tapé, des points seront affichés, afin de garantir la confidentialité de celui-ci.

Le nom d’utilisateur est affiché en clair, le mot de passe est caché

6. ↑ Google ( Google )

Google est le principal moteur de recherche du marché et également une des plus grosses entreprises informatique du monde. www.google.fr vous permet de faire une recherche sur la globalité des sites du monde entier afin de trouver des sites, des images, des vidéos et des actualités, le tout classé par pertinence.

Google s’impose sur le marché Européen et Américain avec plus de 95% de parts de marché.

Aujourd’hui Google n’est plus seulement un moteur de recherche, mais également pleins d’autres choses, comme le système Android pour les smartphones et le navigateur gratuit Google Chrome.

7. ↑ serveur.

Le serveur en entreprise est un ordinateur plus puissant qui va s'occuper du partage des fichiers, de faire des sauvegardes des données régulièrement, d'autoriser ou non l'accès à un ordinateur au réseau d'entreprise, gérer les e-mails, la connexion Internet et la sécurité informatique. Les serveurs sont souvent stockés dans une pièce dédiée et ventilée, dont l'accès est restreint à l'administrateur. On peut considérer le serveur comme le patron des ordinateurs de l'entreprise.

Internet est composé de câbles reliant ensemble des serveurs, qui s’occupent de distribuer la connexion et les requêtes (affiche tel site chez tel utilisateur…) dans le monde entier. Les serveurs hébergent également les Sites Internet que vous consultez.

Les serveurs sont donc les piliers des réseaux Internet, d’entreprise…

Les très gros sites comme Facebook on des milliers de serveurs répartis dans le monde entier, afin de pouvoir tenir la charge des millions d’utilisateurs connectés au site en même temps.

Quand beaucoup de serveurs sont réunis en un seul endroit, on appelle cela un datacenter. Voici à quoi ils ressemblent :

Des rangées de serveurs, reliés à Internet, traitant des millions de données chaque seconde

8. ↑ Wi-Fi ( Wi-Fi )

Le Wi-Fi désigne une connexion sans fil à Internet, entre un ordinateur et un routeur. Le Wi-Fi est très développé à la maison, mais également dans les lieux publics des grandes villes, où vous pourrez vous connecter à Internet gratuitement depuis votre smartphone ou votre ordinateur.

Chez vous, le Wi-Fi est distribué par le routeur de la Box Internet, et vous pourrez le capter avec votre smartphone, tablette et ordinateurs. La porté est d’une vingtaine de mètres. Le réseau sans fil est sécurisé par un mot de passe, généralement indiqué sur un autocollant à l’arrière de votre box, afin que des intrus ou vos voisins ne se connectent pas à votre réseau.

Pour vous connecter à un réseau à portée, cliquez sur l’icône représentant des petites ondes concentriques en bas à droite de votre écran (de la barre des tâches) à proximité d’où est affichée l’heure.

L’icône Wi-Fi est entouré en violet, la liste des réseaux s’affichera au dessus

La liste des réseaux à portée s’affichera, choisissez le votre et entrez le mot de passe. Si tout se passe bien vous serez connecté, et vous pourrez commencer à naviguer sur Internet grâce à votre navigateur.

Il n’y aura plus besoin par la suite d’indiquer le mot de passe.

9. ↑ activer.

Activer’ un système informatique ou une fonctionnalité de ce système signifie « mettre en service ». Activer un appareil informatique revient à l’allumer et à effectuer les manipulations qui le rendront opérationnel. On peut activer un programme informatique sans que toutes ses fonctions possibles soient opérationnelles.

10. ↑ lien.

Un lien est un texte, un bouton ou une image sur lesquels il est possible de cliquer afin d'être amené sur une nouvelle page ou vers un nouveau contenu. Les liens se retrouvent en majeure partie sur Internet et servent à naviguer entre les sites et les pages. Un lien par défaut est bleu mais selon le site la couleur et son apparence peuvent varier. Le curseur devient une main au passage d'un lien.

Selon les sites, les liens seront indiqués dans une couleur différente. En règle générale, les liens sont plutôt bleus. Pour être sûr, il suffit de passer le curseur de la souris dessus, si il se transforme en une main, c’est que vous pouvez cliquer ! Vous serez alors amené vers une nouvelle ressource, qui peut être une autre page du même site, ou un site complètement différent.

Lorsque vous faites une recherche Google, vous verrez que chaque résultat a un lien, en bleu foncé. Quand vous avez trouvé le résultat qui vous plait le mieux, cliquez sur le texte en bleu et vous serez amené vers le site web désiré.

En bleu foncé, les liens sur lesquels vous pouvez cliquer