Seul à la maison, vous êtes tranquillement en train d’écouter la 5e symphonie de Beethoven sur votre enceinte connectée quand tout à coup la musique est remplacée par Big bisous de Carlos ? Pas de doute, vous avez été victime d’un piratage.
Des spécialistes de la sécurité mettent en garde contre ce nouveau type d’attaque après qu’ils ont recensé plusieurs milliers d’enceintes connectées contrôlables à distance. Entre 2 000 et 5 000 enceintes Sonos, et entre 400 et 500 enceintes Bose sont concernées, d’après Trend Micro (la différence tient dans l’heure de l’analyse).
Le problème tient plus dans la mauvaise sécurisation du réseau domestique que dans les enceintes elles-mêmes, mais au bout du compte ce sont elles qui représentent un nouveau vecteur d’attaque. Au-delà de la diffusion malveillante d’une chanson de Carlos ou de Jul, une enceinte peut être détournée pour un mauvais coup plus grave.
Les chercheurs ont fait diffuser à un Sonos One (le dernier modèle de Sonos) des commandes vocales de sorte que l’assistante Alexa intégrée les exécute. Or, Alexa est capable de contrôler des serrures, des caméras de surveillance, des prises électriques…
Après avoir été averti par Trend Micro, Sonos a publié une mise à jour limitant la collecte de données du réseau depuis ses enceintes. Interrogé par Wired, le fabricant déclare que le problème soulevé ne concerne qu’un nombre très limité d’utilisateurs et relève d’un défaut de sécurisation du réseau. Et d’ajouter qu’il déconseille à ses clients d’utiliser ce type de configuration. Bose n’a pas répondu à Wired.
