Des chercheurs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont publié un papier montrant qu’il est possible d’activer Siri ou Google Now à l’insu de l’utilisateur. Il faut néanmoins qu’un des écouteurs possédant un micro soit connecté à l’appareil. Le câble des écouteurs sert d’antenne. Il va traduire des ondes électromagnétiques en un signal électrique qui sera interprété par le système d’exploitation comme la voix de l’utilisateur demandant d’activer Siri ou Google Now. Il est ensuite possible de passer des appels. Dans l’absolu, le pirate pourrait s’appeler et capter les conversations aux alentours.
Un papier très brillant, mais une attaque d’une faible portée
Il faut d’abord avoir l’équipement nécessaire pour produire les bonnes ondes électromagnétiques, ce qui n’est pas donné à tout le monde. Il faut les bons logiciels, une radio, un amplificateur de signal et une antenne. Si le pirate opte pour un système compact capable de rentrer dans un sac à dos, il faut qu’il soit à moins de deux mètres du téléphone pour que cela fonctionne. Bref, à une distance aussi proche, le pirate est déjà capable d’écouter la conversation de sa cible. Il est possible de concevoir un système d’une portée d’environ 5 mètres, mais il faut alors une batterie si grande qu’elle doit être transportée dans une voiture ou un petit camion.
De plus, iOS et Android ont déjà de nombreuses mesures de sécurité qui limitent beaucoup ce qu’il est possible de faire avec ce genre d’attaque. Les deux systèmes d’exploitation ont maintenant des systèmes qui n’activent Siri ou Google Now que si une voix spécifique envoie la commande, ce qui rend ce genre d’attaque presque impossible. De plus, dès que l’on ordonne à ces assistants personnels de faire autre chose que passer un appel, comme visiter un site Internet, le téléphone se situant dans la poche de l’utilisateur demande automatiquement d’être déverrouillé, ce que les pirates ne peuvent pas faire à distance. Dans le cas où l’utilisateur a déjà déverrouillé son téléphone et qu’il en train de l’utiliser, il pourra alors voir immédiatement que Siri ou Google Now s’active et les désactiver, mettant ainsi fin à la manoeuvre.