Google Home : "A partir du moment où on a un accès physique à un appareil, on peut quasiment tout pirater"

DirectLCI
VIE PRIVÉE - Google Home est premier assistant virtuel domestique à sortir en France. Un gadget très amusant à utiliser, mais qui pourrait bien être aussi un peu intrusif. Pour Renaud Lifchitz, chercheur en sécurité chez Digital Security, l'utilisation de ce type d'appareil nécessite de prendre des précautions.

Le Google Home est une enceinte connectée et intelligente, qui s'active par la voix, accessible depuis toutes les pièces de la maison. Il suffit de prononcer les mots magiques "Ok Google" pour demander à l'appareil de faire quelque chose. Pour cela, cet assistant domestique virtuel écoute en permanence ce qui se passe chez vous. Un peu intrusif, non ? LCI a interrogé Renaud Lifchitz, chercheur en sécurité chez Digital Security.

LCI : Les objets connectés, des ampoules au frigo en passant par la télévision, rentrent peu à peu dans nos foyers avec en ligne de mire la maison "intelligente". Aussi pratiques soient-ils, selon vous, sont-ils un danger pour notre vie privée ?

Renaud Lifchitz : Les objets connectés, même s'ils semblent pour certains totalement inoffensifs, à l'instar d'une ampoule ou d'un thermostat connectés, qui n'utilisent pas a priori de données sensibles sur vous, peuvent être utilisés par des pirates pour s'introduire dans votre réseau Wi-Fi, par exemple, dans le but ensuite de contrôler tous les appareils qui y sont connectés. On l'a vu récemment avec les ampoules Phillips Hue. Elle utilise un réseau de faible portée, qui s'appelle Zigbee, dont le mot de passe standard est le même pour tous les appareils.Autrement dit, si l'utilisateur ne l'avait modifié lors de l'installation, il était très facile pour un hacker de récupérer le mot de passe du réseau Wi-Fi de la maison. Ainsi, il pouvait connaître l'historique de navigation, récupérer les mots de passe tapés par l'utilisateur, et aussi contrôler tous les appareils connectés du domicile.

LCI : Google affirme pourtant avoir pris toutes les mesures de sécurité pour éviter qu'un hacker puisse collecter nos données. Qu'en pensez-vous ?

Renaud Lifchitz : Nous réalisons des audits sur les objets connectés pour de nombreuses grandes marques d'électroniques. Ce que l'on constate, c'est qu'à partir du moment où on a un accès physique à l'appareil, on peut quasiment tout pirater. Cela prend plus ou moins de temps, mais on y parvient toujours. Avoir un accès physique à l'objet connecté, c'est le Graal pour un hacker. En piratant un Google Home, un hacker pourrait prendre son contrôle, en devenant l'administrateur de l'objet. Théoriquement, il pourrait alors exploiter toutes les données qui sont collectées par la machine et contrôler les capteurs de l'appareil. Les pirates pourraient s'en servir pour diffuser du son sur le haut-parleur ou, beaucoup plus grave, écouter en permanence ce qu'il se passe dans la maison, sans que son propriétaire ne s'en aperçoive. Ce n'est pas nouveau. Dernièrement, des téléviseurs connectés à commande vocale de la marque Samsung ont fait l'objet d'une polémique. Elles écoutaient en continu ce qu'il se passait. Il était même précisé dans les conditions d'utilisation de ne pas révéler de secret devant son écran de télévision.

LCI : Un bouton, situé au dos de l'enceinte Google Home, permet, si l'on en croit l'entreprise américaine, de boucher les "oreilles" de l'enceinte...

Renaud Lifchitz : C'est une bonne chose. On peut néanmoins se demander, au vu de nos audits sur d'autres objets connectés intégrant un système de ce type, ce qu'il se passerait une fois que l'appareil a été piraté. C'est difficile à dire, en tout cas tant que nous n'avons pas eu l'appareil entre les mains. Récemment, nous avons réalisé un audit de la caméra de surveillance Myfox, qui permet de surveiller son salon. Le constructeur a installé un clapet que l'on peut abaisser pour boucher l’œil de la caméra. Ainsi, l'utilisateur peut être certain qu'il n'est pas espionné et que sa vie privée est préservée. Mais peu de constructeurs intègrent aujourd'hui une sécurité physique de ce genre sur leurs appareils connectés. C'est dommage...

LCI : Peut-on se prémunir face au risque de piratage ? Comment ?

Renaud Lifchitz : Les fabricants d'objets connectés devraient davantage éduquer les propriétaires de ces appareils, en leur apprenant comment bien s'en servir, sans mettre en péril leurs données confidentielles. La première règle est de modifier le mot de passe par défaut dès l'installation d'un nouvel appareil connecté. La question que doivent se poser les consommateurs, c'est d'abord : "Est-ce-que le bénéfice qu'apporte Google Home vaut de prendre le risque de se voir pirater son réseau, voire d'être mis sur écoute ?"

Plus d'articles

Sur le même sujet