Ouvrir le menu principal

iGeneration

Recherche

Une faille permettait de transformer un Google Home Mini en micro espion

Stéphane Moussie

mardi 03 janvier 2023 à 17:15 • 11

Domotique

Quand ce ne sont pas les caméras de surveillance domestiques qui font scandale, ce sont les enceintes connectées qui sont prises à défaut en matière de confidentialité. Un chercheur en sécurité a révélé avoir réussi à pirater un Google Home Mini pour lui faire faire à peu près tout ce qu'il voulait, dont écouter des conversations grâce à son micro.

Précisons tout de suite que la faille a été corrigée en 2021 par Google avec une mise à jour logicielle et que le hacker a été récompensé à hauteur de 107 500 $ par le fabricant pour sa découverte. À 49 $ le Nest Mini (le nouveau nom du produit), ça en fait des enceintes à disperser dans la maison.

À gauche, un Google Home Mini bien tranquille (?)

Dans un long billet technique, Matt Kunze, alias DownrightNifty, explique comment il était possible de compromettre la sécurité de l'appareil. Pour résumer très brièvement, l'assaillant, qui devait se trouver à portée de Wi-Fi de sa cible, devait attaquer le réseau Wi-Fi pour que le Google Home Mini se déconnecte. À partir de là, le malandrin devait se connecter au réseau de configuration de l'appareil pour obtenir ses infos (nom, certificat, identifiant cloud), infos ensuite utilisées pour lier son compte à l'appareil de la victime.

Une fois toutes ces opérations (pas à la portée du premier venu) réalisées, l'escamoteur pouvait contrôler en ligne l'enceinte connectée, y compris à distance de la cible. Si Matt Kunze a trouvé cette faille sur un Google Home Mini, il estime qu'elle était sûrement présente sur les autres enceintes de Google.

La faille n'a pas été exploitée par des personnes malintentionnées a priori. En tout cas le chercheur l'a signalée à Google et a attendu qu'elle soit corrigée (il n'est plus possible de se connecter si facilement au réseau de configuration de l'appareil) avant de la révéler.

Matt Kunze conclut sa recherche en critiquant les fondements de la plateforme Google Home : « L'architecture de Google Home est basée sur le Chromecast. Le Chromecast n'accorde pas beaucoup d'importance à la sécurité contre les attaques de proximité car c'est assez inutile pour ce type d'appareil. Qu'est-ce qui pourrait arriver de pire si quelqu'un pirate votre Chromecast ? Le pirate pourrait diffuser des vidéos obscènes ? »

Seulement, la plateforme Google Home est beaucoup plus sensible qu'un Chromecast. Elle peut rassembler des caméras de surveillance, des enceintes avec micro, des serrures, et toutes sortes d'autres objets connectés. « Si l'architecture de Google Home avait été conçue à partir d'une feuille blanche, j'imagine que ces problèmes n'auraient jamais existé », déclare l'expert.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Orange TV débarque sur les téléviseurs LG, les décodeurs perdent encore du terrain

12:30

• 15


Promo : la batterie magnétique Uno de Ugreen à 35 € (-20 €)

11:53

• 6


Garmin Fenix 8 Pro : le microLED et la fonction SOS se précisent

11:51

• 6


Une nouvelle gamme de couleurs se prépare pour plusieurs produits Beats

11:51

• 1


iPhone 17 : tout ce qu’il faut savoir avant le keynote

07:37

• 43


Fuite de cerveaux : le responsable de l’IA robotique d’Apple et trois chercheurs claquent la porte

06:38

• 94


Promo : un robot aspirateur Roborock à 400 € compatible HomeKit 🆕

02/09/2025 à 23:21

• 13


Zens intègre un chargeur Qi et un galet d’Apple Watch directement dans un câble USB-C

02/09/2025 à 20:21

• 2


Une 9e bêta surprise pour iOS 26, macOS Tahoe et consorts 🆕

02/09/2025 à 19:36

• 60


Free abandonne ses femtocell avec une mise à jour des Freebox 🆕

02/09/2025 à 18:34

• 28


Le Dolby Vision 2 arrive, et il va falloir tout changer pour profiter de l'IA

02/09/2025 à 18:02

• 15


Les prix des iPhone 17 resteraient globalement stables

02/09/2025 à 17:26

• 34


Plans : les visites FlyOver ont disparu, Amiens, Dunkerque et Le Havre ont de nouvelles vues 3D

02/09/2025 à 15:57

• 15


YouTube commence à sanctionner les utilisateurs Premium Famille en dehors du foyer

02/09/2025 à 14:11

• 53


Orange : la 5G+ compatible avec l’option Multi-SIM sur iPhone, c'est confirmé 🆕

02/09/2025 à 12:19

• 63


Spliiit doit négocier avec Apple, Disney et Netflix sur le partage des abonnements

02/09/2025 à 12:07

• 55