Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2015.

Injection de commandes vocales sur ordiphoneChaouki Kasmi, José Lopes Esteves


Date : 03 June 2015 à 17:30 — 15 min.

La commande vocale permet d’utiliser un ordiphone les mains libres. Cette nouvelle façon d’interagir avec les ordiphones est de plus en plus répandue. Actuellement déjà, de nombreuses fonctionnalités, parfois critiques du point de vue de la sécurité de l’information, sont accessibles par commande vocale. Par exemple, selon le modèle d’ordiphone et son système d’exploitation, il est possible d’émettre des appels téléphoniques, d’envoyer des SMS, de prendre des photos et de les publier sur les réseaux sociaux, de naviguer sur internet ou encore de changer les paramètres de l’ordiphone. Comme la voix est le vecteur de déclenchement de ces commandes, cette interface est rarement considérée comme un vecteur d’attaque.

Dans cette présentation, nous introduirons une nouvelle technique d’injection de commandes vocales à distance par interférences électromagnétiques intentionnelles. L’idée part du constat que les ordiphones équipés d’un récepteur FM utilisent le câble des écouteurs comme antenne de réception. Nous montrerons qu’il est possible d’utiliser le câble des écouteurs pour y injecter des commandes vocales via un signal radio spécialement formé. Nous détaillerons la surface d’attaque et le profil d’attaquant nécessaire à la réalisation de ce type d’attaques. Enfin, nous proposerons des contre-mesures adaptées à destination des utilisateurs, des fabricants et des éditeurs de systèmes d’exploitation mobiles.