Des étudiants de la faculté d’informatique du Technion ont découvert une faille de sécurité dans l’application Cortana, l’ assistant personnel intelligent développé par Microsoft pour sa plateforme Windows Phone à partir de la version 8.1 et désormais sur Windows 10.
Pour ceux qui ne le savent pas, Cortana permet aux utilisateurs d’allumer ou de déverouiller des ordinateurs, des smartphones et d’autres appareils simplement avec leur voix.
Au cours des deux derniers semestres, plusieurs groupes d’étudiants du Technion ont travaillé sur des projets sur la sécurisation d’un assistant vocal, et au cours du dernier semestre, deux étudiants, Ron Markowitz (à gauche sur la photo ) et Youval Ron (à droite sur la photo ), ont réussi à “pirater” l’assistant de Microsoft, Cortana.
Les deux ont réussi à prendre le controle d’un ordinateur verrouillé et à y placer un fichier logiciel externe pour contrôler toutes ses fonctions.
Après ce succès, ils ont rapporté leur découverte à Microsoft, qui a maintenant réparé la faille de sécurité.
Amihai Shulman, le professeur, a déclaré : “Vous vous tournez vers l’ordinateur verrouillé et dites: Hey Cortana ! L’assistant se réveille et vous pouvez taper des commandes sur votre ordinateur même si l’écran est verrouillé, vous pouvez contourner le verrou de l’écran Windows, c’est simple, c’est un peu fou car vous tapez alors que l’écran est verrouillé”.
Ce qui est révolutionnaire dans ce piratage, c’est que pour la première fois, le pirate utilise une interface vocale pour contourner les mécanismes de sécurité habituels.
Rappelons que Cortana existe également sur Android et iOS sous la forme d’une application intégrée avec le système CyanogenMod.
Vite, revenons tous au papier avant qu’il ne soit trop tard.