Selon Gartner, 20 % de la population des pays développés aura recours à des assistants vocaux d’ici 2020. Google Home, Amazon Alexa, Microsoft Cortana ou encore Siri d'Apple, difficile aujourd’hui de passer à côté de ces objets connectés qui envahissent peu à peu notre quotidien. Amazon serait d’ailleurs en train de préparer un micro-onde ainsi que sept autres nouveaux appareils connectés à Alexa. S’ils sont de plus en plus prisés des consommateurs, ils le sont encore plus des cybercriminels. Les assistants intelligents accumulent en effet des données personnelles et des niveaux d’autorisation importants à mesure que nous les intégrons dans nos vies, devenant alors de véritables trésors pour les pirates qui cherchent à voler des identités ou de l’argent.
Bastien Dubuc, Country Manager France, Consumer, chez Avast, explique les problématiques majeures en matière de cybersécurité concernant ces assistants personnels :
« Il arrive que des développeurs préfèrent concevoir des appareils faciles et pratiques à utiliser au détriment de la sécurité. La bonne nouvelle, c’est qu’une enceinte connectée peut être installée et opérationnelle en un clin d’œil ; la mauvaise, c’est qu’elle est tout aussi facilement piratable. De plus, outre cette faible sécurité, les consommateurs sont souvent tellement pressés de découvrir l’appareil qu’ils ne prennent pas le temps de changer les paramètres définis par défaut. Ainsi, si un assistant intelligent reste dans sa configuration initiale pendant que l’utilisateur continue de lui associer divers comptes, tels que Spotify ou Google, l’accès à ces derniers sera alors accordé à quiconque demandera à l’assistant de le faire. Les consommateurs doivent donc prendre l’habitude de sécuriser autant que possible chaque connexion au moment de configurer un nouveau compte ou un nouvel appareil.
Le point clé du piratage d’une enceinte intelligente, mais également de tout l’IoT, est le routeur, véritable passerelle vers l’ensemble du réseau domestique connecté. Si un hacker parvient à l’infiltrer, il peut potentiellement compromettre tous les périphériques qui y sont connectés. Outre les assistants vocaux, si ces appareils, tels que la porte d’entrée ou le portail du garage, ont des capacités audio, les cybercriminels peuvent donner l’ordre de les déverrouiller via l’enceinte intelligente. Il faut savoir que tous les objets communiquent entre eux et peuvent être utilisés contre leurs propriétaires !
Les assistants vocaux, et l’IoT en général, sont des technologies relativement nouvelles, ce qui devrait rendre les utilisateurs méfiants. Certaines enceintes connectées ont déjà été affectées par des vulnérabilités liées à la fonctionnalité Bluetooth. Et ce serait dramatique si un nouvel incident de type Eternal Blue affectant Windows et dévoilé au grand public en 2017, se produisait à nouveau ; à savoir la découverte d’une faille critique au cœur d’un système massivement adopté. Pourrait-il y avoir une vulnérabilité inconnue à ce jour dans ces assistants personnels intelligents, attendant simplement qu’un cybercriminel la découvre et l’exploite ? Nous espérons bien sûr que non, mais il ne faut pas écarter cette hypothèse, et les experts en cybersécurité surveillent d’ailleurs ce marché avec attention.
A l’heure actuelle, les enceintes connectées sont généralement ciblées dans le cadre d’attaques plus larges. Toutefois, plus le nombre de consommateurs s’équipant d’enceintes connectées augmente, plus le risque que nous commencions à voir des cyberattaques les visant est important, en raison notamment de la richesse des informations auxquelles elles donnent accès.
Pour le moment, les utilisateurs d’assistants personnels doivent rester conscients des risques et adopter les bonnes pratiques de base. Cela implique au minimum de changer les paramètres établis par défaut pour renforcer la sécurité de l’appareil lors de l’installation et, dans l’idéal, d’optimiser la protection du routeur. Pour une plus grande sécurisation des enceintes connectées, et de l’IoT au sens large, il serait nécessaire que les appareils soient dotés d’un haut niveau de sécurité par défaut. Les risques que l’utilisateur affaiblisse lui-même cette protection seraient alors diminués. Malheureusement, la priorité étant donnée à la dimension pratique, c’est actuellement l’inverse qui se produit. Il est alors préférable que les consommateurs restent informés et vigilants quant aux éventuelles menaces, et prennent de bonnes habitudes de cybersécurité pour protéger leurs objets connectés et leur maison de toute tentative de piratage. »