Amazon Echo Dot n'efface pas le contenu personnel après une réinitialisation d'usine,
La vulnérabilité pourrait s'appliquer à d'autres appareils IdO
L'Internet des Objets (IdO) désigne les appareils électroniques capables de se connecter à Internet et de partager des données utilisateur avec d'autres appareils capables d'accéder à Internet. Pour répondre à certaines préoccupations relatives au respect de la vie privée, les fabricants incluent des mesures comme l'option de réinitialisation d'usine pour effacer l'historique lié à l’utilisation quotidienne de ces appareils. Seulement, il semble que cette mesure de réinitialisation ne marche pas comme prévu, surtout pour l’une des enceintes intelligentes les plus utilisées. En effet, des chercheurs ont montré que la réinitialisation d'usine des appareils Echo Dot d'Amazon usagés n'efface pas vraiment les données des appareils, de sorte qu’elles peuvent encore être récupérées avec des techniques d'expertise relativement simples.
Comme la plupart des appareils IdO de nos jours, l'Echo Dot d'Amazon permet aux utilisateurs d'effectuer une réinitialisation d'usine afin, comme le dit le fabricant, de "supprimer tout... contenu personnel du ou des appareils concernés" avant de les vendre ou de s'en débarrasser. Mais des chercheurs universitaires ont récemment découvert que les bits numériques qui restent sur ces appareils réinitialisés peuvent être réassemblés pour récupérer une foule de données sensibles, notamment des mots de passe Wi-Fi, des emplacements, des jetons d'authentification, des identifiants Amazon, les adresses MAC des routeurs et d'autres données sensibles.
Des chercheurs de l'Université de Northeastern ont acheté 86 Echo Dots d'occasion sur eBay et sur des marchés aux puces sur une période de 16 mois, et ont en outre acheté six autres Echo Dots neufs et y ont chargé des données de test. Ils ont d'abord examiné les appareils usagés pour voir lesquels avaient été réinitialisés aux valeurs d’usine et lesquels ne l'avaient pas été. Leur première surprise : 61 % d'entre eux n'avaient pas été réinitialisés. Sans réinitialisation, il était relativement facile de récupérer les informations susmentionnées sur les appareils connectés des anciens propriétaires.
La seconde surprise est arrivée lorsque les chercheurs ont démonté les appareils et examiné de manière légale le contenu stocké dans leur mémoire. En effet, même lorsqu'une réinitialisation d'usine avait été effectuée, les chercheurs ont pu utiliser l'outil d'expertise publique Autopsy pour accéder aux données personnelles précédemment stockées.
« Un adversaire ayant un accès physique à ces appareils (par exemple, en achetant un appareil d'occasion) peut récupérer des informations sensibles telles que les identifiants Wi-Fi, l'emplacement physique des propriétaires (précédents) et les dispositifs cyberphysiques (par exemple, les caméras, les serrures de porte) », ont écrit les chercheurs dans un document de recherche. « Nous montrons que ces informations, y compris tous les mots de passe et jetons précédents, restent sur la mémoire flash, même après une réinitialisation d'usine ». Cela va à l'encontre de la déclaration marketing d'Amazon.
Réinitialisation, mais pas effacement : les données sensibles peuvent être récupérées sur Echo Dot
Comme la plupart des appareils IdO intelligents et des appareils électroniques construits en mettant l'accent sur la portabilité, Echo Dot d’Amazon utilise une mémoire flash de type NAND pour stocker les données. Comme les disques durs traditionnels, NAND (abréviation de l'opérateur booléen "NOT AND") stocke des bits de données afin de pouvoir les rappeler ultérieurement, mais alors que les disques durs écrivent les données sur des plateaux magnétiques, NAND utilise des puces.
Il est plus difficile de supprimer définitivement des données de la mémoire flash, car elle est conçue pour ne permettre qu'un nombre fini de cycles de suppression (généralement de l'ordre de 10 000 à 100 000) avant qu'un bloc mémoire ne devienne inopérant. Pour prolonger la durée de vie de la puce, les blocs stockant des données effacées sont souvent invalidés plutôt qu'effacés. Les véritables suppressions ne se produisent généralement que lorsque la plupart des pages d'un bloc sont invalidées. Ce processus est connu sous le nom de "wear-leveling".
Selon le rapport d’étude, l'accès à la mémoire flash, qui a été réinitialisée aux valeurs d’usine de cette manière, nécessite quelques compétences techniques et un équipement spécialisé. Cependant, ce n’est rien qui constitue un véritable obstacle pour un passionné moyen prenant tout son temps. Les chercheurs ont pu retirer physiquement les puces mémoire des Echo Dots et les placer dans des appareils spéciaux conçus pour les lire, et également accéder à la mémoire sans retirer la puce à l'aide d'une aiguille conductrice. Selon eux, une fois l'une de ces méthodes établie, la mémoire peut être lue à l'aide d'un outil médico-légal tel que Autopsy qui simplifie une grande partie du processus.
Selon le rapport, en plus de pouvoir récupérer les données sensibles sur les appareils, il serait également possible de les faire fonctionner à nouveau après une réinitialisation d'usine et un réassemblage. Si un Echo Dot est retiré de son "réseau domestique", il est censé nécessiter une notification de l'application au propriétaire pour qu'il donne son autorisation lorsqu'il est connecté à un autre réseau. Cependant, selon les chercheurs, si la réinitialisation d'usine avait été lancée, l'appareil pouvait être amené à fonctionner sur un nouveau réseau avec les anciennes données, encore stockées dans les blocs invalidés, restaurées.
Lorsqu'il était interrogé, Alexa renvoyait le nom de l'ancien propriétaire et répondait aux commandes vocales. Selon le document, cela a permis aux chercheurs de contrôler d'autres appareils IdO connectés au réseau, de créer des commandes Amazon et d'accéder à des contacts parmi de nombreuses autres fonctions. Toutefois, les appareils Echo Dots ne renvoyaient pas l'adresse de l'utilisateur, mais il était possible de l'estimer approximativement en demandant à l'appareil de trouver les types d'installations les plus proches. Selon les chercheurs, la clé de tout cela est que le jeton d'authentification nécessaire pour connecter le compte Amazon du propriétaire n'est pas supprimé par le processus de réinitialisation d'usine.
La vulnérabilité remet en question la sécurité d'autres appareils IdO
Les chercheurs ont écrit :
« Nous avons supposé que l'appareil ne nécessiterait pas de configuration supplémentaire lorsqu'il était connecté à un endroit différent et à un point d'accès Wi-Fi avec une adresse MAC différente. Nous avons confirmé que l'appareil s'est connecté avec succès, et nous avons été en mesure d'envoyer des commandes vocales à l'appareil. À la question "Alexa, qui suis-je ?", l'appareil a renvoyé le nom de l'ancien propriétaire. La reconnexion au point d'accès usurpé n'a pas produit de notification dans l'application Alexa ni de notification par e-mail. Les demandes sont enregistrées dans la rubrique "Activité" de l'application Alexa, mais elles peuvent être supprimées par des commandes vocales. Nous avons pu contrôler les appareils de la maison intelligente, demander les dates de livraison des colis, créer des commandes, obtenir des listes de musique et utiliser la fonction "Drop-in". Si un calendrier ou une liste de contacts était lié au compte Amazon, il était également possible d'y accéder ».
Bien que toutes ces recherches aient été effectuées exclusivement sur les enceintes intelligentes Echo Dot, les chercheurs estiment que cette vulnérabilité est susceptible de s'appliquer à d'autres appareils portables et IdO d'Amazon, tels que les tablettes et la Fire TV. Il est même possible, selon le rapport, qu'elle s'applique à une gamme encore plus large d'appareils IdO similaires à mémoire flash NAND qui gèrent la suppression des données et les réinitialisations d'usine de manière similaire.
Selon les chercheurs, cette vulnérabilité devrait préoccuper les utilisateurs de dispositifs IdO d'Amazon, car un dispositif volé pourrait permettre au voleur d'accéder à un compte Amazon (et par association, d'accéder aux cartes de crédit stockées) et les anciens dispositifs devraient être détruits lorsqu'ils sont mis au rebut de la même manière que les disques durs.
Cependant, les chercheurs pensent avoir identifié une solution viable, qu'ils ont proposée à Amazon. Il s'agirait d'une mise à jour du micrologiciel qui modifierait ses appareils IdO de manière à ce que les informations personnelles clés, telles que les mots de passe, les jetons et les données sensibles, soient chiffrées. Cela ne rendrait pas le processus suivi par les chercheurs impossible à reproduire, mais cela ajouterait l'étape supplémentaire difficile de devoir casser le chiffrement de toutes les données d'intérêt.
Amazon a répondu aux chercheurs en disant qu'il travaillait sur des mesures d'atténuation, mais n'a pas précisé de quoi il s'agissait exactement. Une porte-parole de la société a répondu : « La sécurité de nos appareils est une priorité absolue. Nous recommandons aux clients de désenregistrer et de réinitialiser leurs appareils avant de les revendre, de les recycler ou de s'en débarrasser. Il n'est pas possible d'accéder aux mots de passe des comptes Amazon ou aux informations des cartes de paiement, car ces données ne sont pas stockées sur l'appareil ».
Dennis Giese, l'un des chercheurs de l'Université Northeastern qui a rédigé l'article, a déclaré qu'il pense qu'Amazon travaille sur des moyens de mieux sécuriser les données sur les appareils qu'il fabrique. En attendant, les utilisateurs qui n'ont plus d'utilité pour leurs appareils n'ont guère d'autre choix que de détruire physiquement la puce NAND à l'intérieur.
Source : Article de recherche
Et vous ?
Que pensez-vous de l’étude ?
Quel commentaire faites-vous de la vulnérabilité découverte ? Les utilisateurs d’Echo Dot devraient-ils vraiment s’inquiéter ?
Avez-vous un appareil IdO ? Que comptez-vous en faire après cette découverte ?
Voir aussi :
Le gouvernement japonais prévoit de pirater les dispositifs IoT des citoyens, pour aider à les sécuriser avant les Jeux Olympiques 2020 au Japon
Des cyberattaquants utilisent une vulnérabilité "zero-day" pour effacer en masse les appareils My Book Live, Western Digital a retiré le code qui aurait empêché l'effacement de téraoctets de données
Les travailleurs d'Amazon écoutent ce que vous dites à Alexa, son assistant vocal intelligent, et en parlent dans un forum de discussion interne
Si vous vous souciez de la vie privée, faut-il jeter vos appareils Amazon Alexa par la fenêtre ? L'équipe d'Alexa pourrait vous localiser
Partager