Le géant américain Amazon a corrigé une vulnérabilité importante de son assistant vocal vedette Alexa permettant un accès non autorisé aux informations personnelles des utilisateurs, a annoncé jeudi une entreprise de cybersécurité.
“Nous n’avons connaissance d’aucun cas d’utilisation de cette vulnérabilité contre nos clients ou d’exposition d’informations sur les clients”, a déclaré à l’AFP un porte-parole d’Amazon, qui a assuré avoir corrigé le problème peu après son signalement.
“Nous n’avons aucune information nous permettant de savoir si cette faille spécifique a été utilisée” par des pirates, a expliqué Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point, interrogé par l’AFP.
“Alexa nous préoccupait depuis déjà un certain temps, étant donné son omniprésence et sa connexion à d’autres dispositifs de l’Internet des objets. Ce sont ces méga-plateformes numériques qui peuvent nous faire le plus de mal”, a-t-il mis en garde.
Dans un communiqué, les chercheurs de Check Point Research affirment avoir “identifié des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient permettre à un pirate de supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles” (historique des données bancaires, numéros de téléphone et adresse du domicile).
Une “compétence” Alexa est une application vocale ajoutée aux fonctionnalités d’origine de l’assistant. Elles ont accès aux données personnelles des utilisateurs et permettent d’interagir avec les autres objets connectés (lumières, portes, volets…).
