Faille : Google Home et Chromecast vous espionnent, un correctif arrive !
Le Google Home est victime d'une importante faille de sécurité facilement exploitable qui permet à n'importe qui de localiser l'enceinte connectée et leurs possesseurs. Il est possible de calculer leur emplacement précisément à partir des réseaux WiFi disponibles à proximité. Le Chromecast est également concerné par le problème. Google prévoit de proposer une mise à jour en juillet 2018 pour combler la faille.
Une faille de sécurité a été découverte sur les Google Home par le chercheur en sécurité informatique Craig Young, de la société Tripwire. Elle permet à des individus malveillants de repérer leur position et donc celle du domicile des utilisateurs assez facilement. Il leur suffit en fait de demander l'accès à la liste de réseaux sans fil disponibles à proximité et d'utiliser les services de recherche de géolocalisation de Google pour calculer leur position.
Google Home : une faille de sécurité permet la géolocalisation de l'enceinte connectée par des tiers
“J’ai été en mesure d’utiliser les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante”, explique Young, qui assure être en mesure de pouvoir localiser un Google Home avec une grande précision. Il évoque une marge d'erreur d'une dizaine de mètres. La manipulation est possible car les enceintes connectées ne disposent pas d'un système d'authentification sécurisé. Mais elles ne sont pas les seules : le Google Chromecast est concerné par le même genre faille.
Google a été prévenu de cette faille de sécurité au mois de mai 2018. La firme de Mountain View a d'abord estimé qu'il ne s'agissait pas vraiment d'un problème et ne comptait pas se pencher sur le soucis. Elle a changé d'avis quand elle a appris qu'une publication allait détailler et dénoncer cette vulnérabilité. Finalement, Google, à qui on a un peu dû forcer la main sur ce coup, va proposer une mise à jour courant juillet 2018 afin de combler la faille.
Les enceintes connectées se démocratisent mais restent des appareils à la sécurité incertaine. Par exemple, Alexa, l'assistant d'Amazon, a partagé des conversations privées à l’insu d’un couple. Des cas isolés bien sûr, mais pas franchement rassurants tout de même. L'enceinte connectée Amazon Echo vient d'ailleurs d'arriver en France, et vient concurrencer l'hégémonie de Google sur ce marché en pleine expansion, avec également l'arrivée du HomePod chez nous.