La cybersécurité arrive au secours des assistants vocaux
Plus de 100 millions d'objets connectés dans le monde disposent de la technologie vocale Alexa, s'est vanté Amazon lors du CES 2019. Plus de 200 millions de produits sont équipés de DuerOS a surenchéri dans la foulée le géant chinois Baidu. Bref, le succès des enceintes à commande vocale est réel auprès du grand public, pour des applications liées à la maison intelligente. Mais les professionnels de la cybersécurité alertent depuis longtemps sur les faiblesses de ces systèmes face aux détournements malveillants.
Face à ces nouveaux risques, des entreprises se sont spécialisées pour résoudre les failles sécuritaires des objets connectés. "L'IoT se distingue de la sécurité traditionnelle des entreprises, il mêle à la fois des composants physiques et du digital. Pour sécuriser cette technologie, il faut des compétences précises, notamment en radiofréquence", explique Jean-Claude Tapia, président de Digital Security, CERT européen (Computer Emergency Response Team) dédié à l'IoT.
La voix devient en effet une donnée biométrique sensible avec l'essor des assistants vocaux. La société Pindrop a fait le choix de s'orienter spécifiquement vers sa protection. La start-up américaine a levé 90 millions de dollars en décembre 2018 pour développer cette activité et s'implanter en Europe. Fondée en 2011 pour s'adresser au marché des centres d'appels, Pindrop a développé des brevets pour la sécurisation de l'appareil de commande et de l'empreinte vocale afin de garantir l'identité de l'utilisateur. Car les imitations sont encore facilement réalisables. Dernier exemple en date, en décembre 2018, un perroquet est parvenu à passer une commande sur Amazon en imitant la voix de sa propriétaire et en activant l'enceinte Amazon Echo. Les hackers utilisent également l'attaque dite du dauphin consistant à traduire des commandes vocales en fréquences ultrasoniques inaudibles pour l'homme, afin de prendre le contrôle d'assistants personnels.
"Pirater la voix n'a pas de conséquence physique, c'est la prise de contrôle qui pose problème."
Pindrop prévoit de réaliser dans les années à venir la majorité de son chiffre d'affaires avec la protection des assistants vocaux grand public. La start-up vise aussi bien les applications dans la maison connectée que dans la voiture. "Demain, on pourra verrouiller son domicile et son véhicule à la voix", anticipe Vijay Balasubramaniyan, cofondateur et CEO de Pindrop, qui s'est associé à son compatriote Allegion Ventures, spécialiste américain des serrures connectées.
Privilégier la sécurité by design
Les spécificités des objets connectés ont aussi conduit les entreprises de cybersécurité à imaginer des protections à un niveau plus fondamental, dédiées à la sphère professionnelle. "La voix n'a pas de conséquence si elle est piratée, c'est la prise de contrôle qui pose problème. Un exemple avec les véhicules autonomes : il ne faudrait pas qu'un hacker passe par la commande vocale pour prendre ensuite possession des commandes de pilotage. Surtout que s'il y parvient pour une voiture, il sera capable de le faire pour tous les modèle de la marque et faire du chantage à cette dernière", souligne Christophe Pagezy, le directeur général de la start-up française Prove&Run. PSA entend notamment équiper l'ensemble de ses marques d'une technologie de reconnaissance vocale pour permettre aux conducteurs de dialoguer avec leurs véhicules.
Lors des attaques sur un objet connecté, l'OS demeure une cible privilégiée en raison de la complexité de sa structure qui offre de nombreuses failles à exploiter par les pirates. Pour pallier cette vulnérabilité, Prove&Run a été créée en 2009 pour se focaliser sur l'IoT. L'entreprise a développé un petit OS sécurisé destiné à accueillir les fonctions critiques des objets connectés, comme le firmware qui exécute les mises à jour. Il s'agit de fournir une solution logicielle de base pour que le fabricant puisse sécuriser son produit.
D'autres sociétés, comme l'éditeur français de logiciels de sécurité informatique Wallix, se spécialisent sur la sécurisation du logiciel des assistants vocaux. "Nous travaillons avec des fabricants sur la conception d'assistants vocaux dans l'industrie, la santé ou la banque, afin d'assurer un chiffrement de bout en bout dès la fabrication", explique Jean-Noël de Galzain. Le fondateur et CEO de Wallix insiste, tout comme la start-up Snips qui conçoit la technologie pour développer des assistants vocaux, sur la nécessité d'avoir une sécurité intégrée dès la conception pour éviter par exemple que l'assistant vocal soit utilisé comme mouchard pour récupérer des informations sur une entreprise. Il appuie en ce sens sur la décision de l'Union européenne de mettre en place d'ici à 2023 une certification des objets connectés.