L’omniprésence des assistants intelligents à commande vocale comme Amazon Alexa, Google Assistant, Siri d’Apple et même Cortana de Microsoft devrait probablement motiver un audit des fonctionnalités de sécurité de nos plateformes. Parce que souvent, les pouvoirs presque globaux accordés à ces assistants virtuels se font au détriment de, eh bien, de leur donner trop de pouvoir.
Cortana n’est peut-être pas le plus célèbre du groupe, mais, étant donné qu’il est préinstallé sur tous les PC Windows 10, en particulier les ordinateurs portables et les tablettes, il a encore plus de potentiel de nuire, comme le prouve ce rapport McAfee.
Si vous le demandez gentiment à Cortana, « elle » vous permettra d’accéder à des PC verrouillés, d’exécuter potentiellement des applications malveillantes et même de changer le mot de passe de l’utilisateur. Ce n’est pas la première fois que ce type de vulnérabilité a été signalé, mais cette fois c’est un peu plus flippant, car vous n’avez pas besoin d’une connexion Internet pour que l’exploit soit déclenché. Tous les besoins du hacker sont un simple accès physique au périphérique Windows 10.
La vulnérabilité se résume à deux fonctionnalités de Windows 10. L’une est basée sur la façon dont Windows indexe les fichiers, même leur contenu. L’autre est la manière incohérente et non sûre que Cortana peut présenter des résultats de recherche et des actions liées à ces résultats même sur un écran de verrouillage. En un mot, Cortana pourrait exécuter un script malveillant sur une clé USB qui va changer le mot de passe de l’utilisateur et laisser quelqu’un d’autre se connecter au compte.
Une faille corrigée
Heureusement, c’est un processus plutôt compliqué qui nécessite un accès physique à la machine, sans parler du temps qu’il faut avoir. Ce n’est donc pas un problème si vous avez toujours votre ordinateur avec vous. Mais si vous vous éloignez de votre ordinateur dans un lieu public ou même au bureau, vous pourriez avoir des problèmes. Là encore, si quelqu’un d’autre a déjà un accès physique à votre ordinateur, alors il peut y avoir d’autres moyens d’accéder à des données importantes.
Microsoft a déjà corrigé la vulnérabilité dans la dernière mise à jour publiée ce mardi 12 juin. C’est une bonne chose, et n’attend plus pendant des semaines ou des mois avant de déployer des correctifs. Étant donné qu’il s’agit déjà de la deuxième vulnérabilité publiée impliquant Cortana, Microsoft devrait peut-être vérifier l’intégralité de la pile et peut-être désactiver Cortana par défaut sur l’écran de verrouillage. En tout cas, ce dernier est probablement conseillé même si Microsoft ne le fait pas elle-même.
C’est évidemment un domaine important, car nous nous dirigeons inexorablement vers un monde dans lequel les assistants virtuels intelligents sont de plus en plus utilisés pour vous aider à exécuter de nombreux aspects de vos appareils connectés et systèmes d’exploitation.
