L’assistant vocal d’Amazon, Alexa, servirait de porte d’entrée pour tout une série de programme malveillants qui représentent un risque important en matière de protection de la vie privée, selon une nouvelle étude.
Au dire des chercheurs, les enjeux iraient de politiques de protection de la vie privée qui induisent en erreur à la capacité, de la part de tierces parties, de changer le code de leurs programmes après avoir reçu le feu vert d’Amazon.
« Lorsque les gens utilisent Alexa pour jouer à des jeux ou obtenir de l’information, ils pensent souvent qu’ils interagissent seulement avec Amazon », mentionne Anupam Das, coauteur de l’étude et professeur adjoint en informatique à l’Université d’État de Caroline du Nord. « Mais beaucoup d’applications avec lesquelles ils interagissent ont été créées par des tierces parties, et nous avons identifié plusieurs failles dans le processus de vérification qui permettraient à ces tierces parties d’accéder aux informations personnelles ou privées des utilisateurs. »
Au coeur du problème, on trouve les programmes qui fonctionnent dans l’environnement d’Alexa, et qui permettent aux utilisateurs d’accomplir de nombreuses tâches allant de l’écoute de musique à la commande de produits alimentaires en ligne. Ces programmes, qui sont en gros l’équivalent des applications sur téléphone intelligent, sont appelés « talents ».
Amazon a vendu au moins 100 millions d’appareils Alexa, et on compte plus de 100 000 « talents » parmi lesquels choisir. Puisque la majorité de ces applications sont créées par des développeurs tiers, et qu’Alexa est utilisé dans les maisons, les chercheurs voulaient faire la lumière à propos de possibles failles de sécurité et de craintes pour la protection de la vie privée.
Ces derniers ont utilisé un programme automatique pour recueillir quelque 90 194 applications uniques offertes dans sept boutiques différentes. L’équipe de recherche a aussi mis sur pied un programme d’évaluation automatique qui fournit une analyse détaillée de chaque application.
L’un des problèmes recensés par les chercheurs est le fait que ces boutiques indiquent le nom des développeurs responsables pour la publication des applications, un nom qu’Amazon ne va toutefois pas vérifier pour s’assurer de son authenticité. En d’autres termes, un développeur peut affirmer être n’importe qui. Cela faciliterait la tâche d’un assaillant, qui pourrait enregistrer le nom d’une organisation plus fiable. Cela, en retour, pourrait pousser des utilisateurs à croire que l’application est publiée par cette même organisation, ce qui ouvrirait la voie à des attaques d’hameçonnage.
Les chercheurs ont aussi constaté qu’Amazon permettait à plusieurs applications d’utiliser la même phrase d’activation (Alexa fonctionne par commandes vocales). « C’est problématique, parce que si vous pensez que vous activez une application, vous en activez en fait une autre; cela crée le risque que vous partagiez de l’information avec un développeur à qui vous ne pensiez pas envoyer des données », affirme M. Das.
« Par exemple, certaines applications nécessitent de se lier à compte tiers, comme votre adresse courriel, vos services bancaires, ou encore vos comptes sur les médias sociaux. Cela représente un risque important en matière de vie privée ou de sécurité. »
Un code malléable
Par ailleurs, les chercheurs ont démontré que les développeurs peuvent modifier le code d’applications après que celles-ci eurent été offertes sur des boutiques. Plus spécifiquement, l’équipe a publié une application, puis a modifié son code pour exiger davantage d’informations de la part des utilisateurs après que l’application eut été approuvée par Amazon.
« Nous ne voulions pas adopter un comportement répréhensible, mais notre démonstration prouve qu’il n’y a pas suffisamment de contrôles en place pour éviter que cette faille ne fasse l’objet d’abus », a indiqué M. Das.
Amazon possède bien entendu certaines normes en matière de protection de la vie privée, y compris des exigences claires liées à huit types de données personnelles, dont la localisation, les noms complets et les numéros de téléphone. L’une de ces exigences est le fait que toutes les applications réclamant l’accès à ces informations doivent posséder une politique publique en matière de protection de la vie privée, politique qui explique pourquoi l’application a besoin d’accéder à ces données, et ce qu’elle va en faire.
Les chercheurs ont toutefois découvert que 23,3% des 1146 applications nécessitant un accès aux données personnelles ne disposaient pas d’une telle politique, ou leur politique était incomplète ou induisait en erreur. Par exemple, certaines réclamaient des données personnelles, alors que leur politique en la matière spécifiait pourtant qu’elles ne demandaient pas un accès aux informations privées.
Enfin, l’équipe de recherche présente certaines recommandations pour renforcer la sécurité d’Alexa, notamment en encourageant Amazon à valider l’identité des développeurs d’applications, en plus d’utiliser des notifications indiquant aux utilisateurs qu’ils se servent d’applications qui n’ont pas été développées par Amazon lui-même.
