Tous vos appareils électroniques peuvent se faire attaquer, épisode 28138. Le 6 août, le chercheur Slava Makkaveev de Check Point a publié ses travaux sur les Kindle, les tablettes d’Amazon dédiées à la lecture. Résultat : il a découvert une chaîne de deux vulnérabilités qui lui permettent de prendre le contrôle de ces appareils. La première permet de s’introduire sur l’appareil à distance, tandis que la seconde permet ensuite de gagner les droits d’administration sur l’appareil, pour que le malware puisse utiliser toutes ses capacités. Pour exploiter ces failles, le chercheur a créé un e-book malveillant caché sous une belle couverture, qu’une victime pourrait être tentée de télécharger. Une fois le livre électronique ouvert par la cible, l’attaque est réussie.
Amazon permet de s’autopublier sur sa plateforme de téléchargement, et il existe plusieurs méthodes pour contourner son magasin et télécharger depuis une source tierce (par exemple pour récupérer une traduction non officielle d’un livre). Combiné avec un phishing bien fait, il pourrait être relativement facile de faire télécharger un e-book infecté à sa cible.
« Même si parfois vous n’êtes pas content de l’écriture d’un livre, personne ne s’attend à en télécharger un vraiment malveillant. Aucun scénario de la sorte n’a été publié. Les antivirus n’ont pas de signatures [les traces de malware qui permettent de les reconnaître, ndlr] pour les e-books. Mais… nous avons réussi à créer un livre malveillant », développe Makkaveev.
Rapportées à Amazon en février 2021, les failles ont été corrigées dans une mise à jour d’avril, avant qu’elles ne soient exploitées par des malfrats. Si vous avez connecté votre Kindle à Internet depuis cette date, votre appareil aura reçu le correctif automatiquement. Et si vous n’avez pas connecté votre Kindle à Internet, vous ne vous serez dans tous les cas pas exposés à ce scénario de cyberattaque, puisque vous n’aurez pas téléchargé d’e-book.
Une tablette pour entrer sur votre réseau
« Hacker une tablette Kindle, pour quoi faire ? », êtes-vous sûrement en train de vous demander. Les premières applications qui viennent à l’esprit sont les moins graves : grâce aux vulnérabilités, l’attaquant peut supprimer la librairie de livres virtuels et en ajouter des nouveaux. Mais personne ne s’engagerait dans une manipulation si technique pour une simple farce.
Là où la cyberattaque pouvait devenir intéressante, c’est qu’elle permettait de copier les identifiants Amazon de la victime, ainsi que ses informations de facturation. Mieux, la tablette devient une porte d’entrée sur le réseau local de la victime. Autrement dit, le hacker peut transformer le Kindle en outil d’attaque contre les autres appareils de la victime, et notamment son ordinateur et son smartphone.
Finalement, ce genre de recherche, même si elle prévient un véritable risque, a surtout pour objectif de démontrer que n’importe quel appareil peut être piraté. Des dizaines de millions de Kindle trônent sur les tables de chevet d’autant de foyers, et la cyberattaque découverte par Makkaveev permet d’en faire des portes d’entrée sur le réseau local des victimes. On parle donc d’une cyberattaque qui pouvait être lancée à distance — sans s’approcher de la cible — et pouvait toucher un très large nombre d’appareils. Elle permettait aussi de cibler des sous-ensembles de personnes selon la langue et le genre affiché par le faux e-book.
Mais les efforts à déployer pour faire télécharger l’e-book infecté par la victime sans se faire détecter en font un type d’attaque peu susceptible d’être adopté, du moins à grande échelle. Pour cause : les cybercriminels vont toujours au plus simple, alors pourquoi iraient-ils lancer une manipulation complexe contre un Kindle quand l’ordinateur du foyer, la véritable mine d’information, est vulnérable à bien d’autres attaques ? Pourquoi rentrer par la fenêtre étroite quand le porte d’entrée est mal verrouillée ?
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !