Une vulnérabilité d’Alexa permettait d’accéder aux données personnelles des utilisateurs

Une vulnérabilité d’Alexa permettait d’accéder aux données personnelles des utilisateurs

Le spécialiste de la sécurité des systèmes d’information Check Point a detecté des failles de sécurité permettant à une personne malveillante d’accéder aux données personnelles détenue par Alexa, l’assistant vocal d’Amazon. Amazon a depuis corrigé ces failles.

Check Point a annoncé jeudi 13 août 2020 avoir découvert des failles de sécurité concernant Alexa, l’assistant vocal d’Amazon. L’entreprise, qui a découvert ces vulnérabilité en juin dernier, précise qu’elles ont été corrigées depuis par Amazon.

Historique d’enregistrement et données personnelles

A la fin de l’année, plus de 200 millions d’objets connectés utiliseront l’assistant vocal d’Amazon. Devant la popularité d’Alexa, Check Point a décidé de se pencher sur les éventuelles failles de sécurité du système. Le cabinet explique dans un communiqué être parvenu à trouver “des vulnérabilités dans certains sous-domaines d’Amazon/Alexa permettant à un hacker d’installer ou désinstaller des compétences sur le compte Alexa de la personne ciblée, accéder à son historique d’enregistrement et à ses données personnelles”.

Ils ont trouvé ces vulnérabilités en faisant des tests avec l’application Alexa utilisée sur les smartphones. Check Point a découvert que plusieurs fonctionnalités de l’application avaient des paramètres mal configurés permettant d’envoyer des requêtes depuis n’importe quel sous-domaine d’Amazon. Le propriétaire de l’assistant vocal devait simplement accéder à une adresse provenant des systèmes d’Amazon, mais envoyé par le hacker. Ce dernier pouvait alors accéder aux données personnelles du propriétaire dès lors qu’il utilisait une des compétences d’Alexa. Le tout sans qu’il ne s’en rende compte…[Lire la suite]

Source : Une vulnérabilité d’Alexa permettait d’accéder aux données personnelles des utilisateurs


Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Laisser un commentaire