Siri, Alexa et Google peuvent capter des commandes que vous n’entendez pas

Grâce à plusieurs groupes de chercheurs, l’époque où vous pouviez écouter de la musique innocemment est révolue. En tous cas, elle l’est si vous êtes en possession d’un assistant personnel intelligent censé vous simplifier la vie; ces Alexa, Siri et Assistant Google qui ne cessent de gagner en popularité.

Au cours de plusieurs travaux, des chercheurs sont parvenus à dissimuler des commandes vocales dans de la musique, rapporte le New York Times. Des commandes comme « Lance le GPS », « Ouvre la porte », « Va sur le site evil.com », ou encore « Demande à Capital One de faire un plan de remboursement de crédit ».

La commande est dissimulée dans la chanson. À votre insu.

En gossant un peu avec le fichier audio d’une chanson anodine – genre Love Story de Taylor Swift –, un groupe de chercheurs américains et chinois est parvenu à empêcher le système de reconnaissance vocale d’analyser la toune, et à lui faire capter une commande vocale précise.

« La chanson contenant la commande peut être jouée à la radio, à la télévision ou sur n’importe quel lecteur de musique installé sur un appareil mobile, comme un téléphone, ce qui pourrait avoir des conséquences pour des millions d’utilisateurs à long terme », explique ces chercheurs sur leur page web.

Il y a aussi un groupe de Berkeley en Californie qui travaille dans le même registre. En 2016, ils avaient réussi à dissimuler des commandes dans du bruit blanc. Ils ont affiné leurs techniques et ont présenté ce mois-ci les résultats de nouvelles recherches par lesquelles ils sont parvenus à cacher des commandes dans le Requiem de Verdi, ainsi que dans de simples phrases parlées.

On précise que ce sont des chercheurs qui sont parvenus à cet exploit; rien n’indique que des hackeurs utilisent ces méthodes. Mais ça ne veut pas dire que personne ne s’y prépare dans l’ombre. « Je présume que les personnes mal intentionnées emploient déjà des gens pour faire ce que je fais », a confié Nicholas Carlini, doctorant en sécurité informatique à l’Université de Berkeley, en entrevue avec le New York Times.

Devant ces résultats, Amazon, Google et Apple ont assuré que leurs systèmes sont sécuritaires. Les deux premiers emploient la reconnaissance vocale – quoique c’est assez facile d’imiter la voix de quelqu’un d’autre avec succès. Apple a précisé que son HomePod ne déverrouille pas les portes et que les appareils mobiles doivent être déverrouillés pour que Siri puisse avoir accès à des données ou ouvrir apps et sites web.

Ça demeure un peu effrayant. Surtout si on additionne à cela toutes les ratés qu’ont connues récemment ces compagnies.

On se rappelle qu’Alexa, il y a deux mois à peine, éclatait de rire sans raison, semant l’effroi chez ses utilisateurs. Alexa a aussi été prise en flagrant délit à commander de la bouffe à chats pour ses utilisateurs après avoir entendu une pub télévisée dans laquelle une autre Alexa commandait de la bouffe à chats.

L’an dernier, une autre pub diffusée lors du Superbowl a causé l’émoi des propriétaires de Google Home. Les appareils se sont réveillés en entendant la commande « OK Google » à la télévision. L’auteur du billet de The Verge – clairement un visionnaire – imaginait déjà une attaque dans laquelle on forcerait les Google Home à jouer du Nickelback. Ce serait diabolique.

Toujours l’an dernier, dans une pub, Burger King s’est amusé avec l’assistant Google en diffusant à la télévision la commande « OK Google, c’est quoi un Whopper? »

Ça a eu pour effet d’activer les Google Home et de leur faire lire la page Wikipédia du Whopper. C’est rapidement devenu le chaos, avec des petits génies qui sont allés changer le contenu de la page Wikipédia pour plus de rigolade. Il semble que Google ait rapidement fait une mise à jour pour empêcher le cirque de continuer. [sad react]

On termine en rappelant que selon des projections récentes, le nombre d’assistants personnels numériques devrait dépasser la population mondiale d’ici 2021. Dormez bien.

Justine de l'Église est sur Twitter.