Deux ans après la découverte d’une faille majeure, Google vient de récompenser une experte en cybersécurité pour la découverte d’une faille majeure sur les enceintes connectées du GAFAM. Concrètement rapporte le site Hackernews, la vulnérabilité “permettait à un pirate se trouvant physiquement dans la zone de couverture sans fil d’installer un compte faisant office de porte dérobée sur l’appareil“. Une fois cette backdoor installée, n’importe quel utilisateur mal intentionné pouvait envoyer des commandes à l’objet connecté, en utilisant une simple connexion Internet.
Un micro-espion en puissance
Plus grave encore, la vulnérabilité permettait aussi de transformer n’importe quelle enceinte de la marque en micro-espion, accédant ainsi à bon nombre de données sensibles en matière de données personnelles. Repéré en janvier 2021, le problème a finalement été corrigé en avril 2021. Il aura toutefois fallu attendre près de deux ans supplémentaires pour que le géant du web ne daigne reconnaître l’utilité du bug bounty, et qu’il le récompense.
Un mode opératoire bien rodé
C’est via un processus bien ficelé que les hackers parvenaient à piéger leurs victimes : en incitant leurs cibles à télécharger une application vérolée Android depuis un smartphone ou une tablette, les pirates accédaient ensuite au réseau Wi-Fi, puis à de potentielles enceintes à infecter. À partir de là, le logiciel pouvait envoyer des requêtes HTTP aux appareils et les lier à un compte Google contrôlé par les hackers.
Une autre méthode encore plus redoutable consistait à attaquer l’enceinte via une méthode “zéro clic“, en forçant l’appareil à diffuser son propre réseau Wi-Fi via l’envoi de paquets corrompus. Les pirates n’avaient ensuite plus qu’à se connecter à leur propre réseau (émis par l’enceinte) pour prendre le contrôle de la Google Home.
Comment se protéger ?
Pour éviter l’exposition inutile de vos données, le plus simple reste de désactiver le microphone directement sur votre enceinte, via le bouton physique situé sur l’appareil. Attention aussi à ne jamais télécharger d’applications non authentifiées par le Play Store de Google, sous peine de risquer l’installation de logiciels pirates ou malveillants.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.