Sélection de la langue

Government of Canada / Gouvernement du Canada

Facteurs relatifs à la sécurité à considérer pour les assistants numériques à commande vocale - ITSAP.70.013

Un assistant numérique à commande vocale est un dispositif intelligent qui peut contrôler d'autres dispositifs lorsqu'il en reçoit la demande d'une voix humaine. Il peut effectuer diverses tâches, comme vérifier les prévisions météorologiques, ajuster le thermostat et faire jouer de la musique. Un assistant numérique à commande vocale peut se connecter à Internet, ce qui lui permet de communiquer avec d'autres dispositifs intelligents et de former un vaste réseau appelé l'Internet des objets Internet des objetsRéseau formé par les dispositifs Web utilisés couramment, qui peuvent se connecter les uns aux autres et qui peuvent se transmettre de l'information. (IdO). Il peut être pratique, mais avant de l'intégrer à votre réseau, il est important de tenir compte des risques qu'il représente sur le plan de la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. .

Sur cette page

Fonctionnement de l'assistant numérique à commande vocale

Un assistant numérique à commande vocale peut prendre plusieurs formes : haut-parleur intelligent, montre intelligente et application de téléphone intelligent. Il répond aux commandes humaines à l'aide de la technologie de reconnaissance ReconnaissanceActivité menée par un auteur de menace dans le but d’obtenir de l’information et de déceler les vulnérabilités qui permettront d’éventuelles compromissions. vocale. Il enregistre et est à l'affût de commandes ou de mots clés. Dès qu'il reçoit une commande, il capte la demande et fouille sur Internet pour trouver une réponse adéquate ou mène l'action demandée. Il écoute et parse les conversations aux fins de marketing ciblé.

L'assistant numérique à commande vocale se sert d'algorithmes et de l'apprentissage automatique pour améliorer sa performance au fil du temps. Il crée des profils d'utilisateurs pour identifier les personnes qui donnent des commandes, ce qui permet des interactions plus personnalisées. Il enregistre entre autres des données de reconnaissance vocale et stocke de l'information sur les ressources et les dispositifs intelligents qu'il utilise pour répondre aux demandes. Parmi les exemples de données conservées par un assistant numérique, citons les sites Web visités et les paramètres de contrôle de vos électroménagers et de vos caméras de sécurité. Même si l'assistant numérique peut créer des profils pour reconnaître les commandes vocales d'une personne en particulier, il répond à toute commande vocale qu'il peut interpréter et enregistre toutes ces commandes.

Risques liés à l'assistant numérique

L'assistant numérique à commande vocale représente une cible de grande valeur pour les auteurs de cybermenace CybermenaceEntité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient. qui cherchent à voler de l'information de nature sensible. En raison de la nature interconnectée d'un tel dispositif, une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. dans un assistant numérique ou dans un appareil connecté à celui-ci peut compromettre la sécurité du réseau en entier.

Les auteurs de cybermenace peuvent tirer parti des vulnérabilités des manières suivantes :

  • accéder à des renseignements personnels, entre autres :
    • les noms d'utilisateur,
    • les mots de passe,
    • d'autres détails sensibles sur le compte;
  • savoir si vous êtes à la maison;
  • manipuler les contrôles d'autres dispositifs intelligents connectés pour compromettre la sécurité et l'intégrité, entre autres :
    • ajuster les réglages de température,
    • déverrouiller des portes,
    • désactiver des alarmes.

Certaines fonctions d'un assistant numérique peuvent représenter d'autres risques.

Stockage des enregistrements de la reconnaissance vocale et des transcriptions

Le dispositif peut conserver la transcription écrite d'une commande vocale enregistrée qui a été envoyée à une ressource infonuagique InfonuagiqueRecours à des serveurs distants hébergés dans Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur.  . Ces données peuvent contenir des renseignements confidentiels, surtout si le service vocal a été déclenché accidentellement. Connaissez les politiques de protection des renseignements personnels des fournisseurs. Ceux-ci ont souvent des conditions qui leur permettent de conserver les enregistrements ou les transcriptions aux fins d'amélioration de la qualité ou de partage avec des partenaires.

Espionnage des conversations de nature sensible

Les commandes vocales pour certaines activités, comme le contrôle de l'éclairage et de la musique, représentent un risque minime de captation des conversations en arrière-plan. Toutefois, ce risque est plus élevé dans d'autres situations. Par exemple, si vous connectez un assistant vocal à une plateforme de travail pour dicter le contenu de vos courriels, celui-ci pourrait avoir accès aux conversations sensibles. Des auteurs de menace peuvent alors profiter de ces données pour lancer des attaques aux ultrasons ou pour faire des achats non autorisés. Vous devriez activer les dialogues de confirmation pour minimiser le risque de transactions accidentelles ou non autorisées. Le dispositif répétera ainsi votre commande et vous demandera de la confirmer. Les dispositifs modernes dotés de la reconnaissance vocale intégrée sont parfois plus sécuritaires.

Méthodes d'attaque

Les auteurs de cybermenace peuvent cibler les assistants numériques en recourant à diverses méthodes, comme une attaque aux ultrasons ou un maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. .

Attaque aux ultrasons

Une attaque aux ultrasons consiste à envoyer des sons de fréquence ultrasonore qui sont inaudibles pour l'humain, mais qui déclenchent la fonction d'enregistrement des assistants numériques. Ces sons à haute fréquence peuvent être intégrés à des vidéos, à des sites Web ou même à des dispositifs physiques qui permettent aux auteurs de menace de cibler les assistants numériques dans un rayon donné. Ces derniers peuvent ainsi commander à un assistant numérique d'amorcer des actions, comme transférer des dossiers, faire des achats non autorisés et voler des données sensibles.

Maliciel

Les maliciels sont souvent utilisés dans le monde de la cybercriminalité pour compromettre des assistants numériques. Ils les infectent au moyen d'applications camouflées ou de pièces jointes ou de liens malveillants. Les maliciels sont très difficiles à détecter et à diagnostiquer dans les assistants numériques. Les auteurs de menace peuvent s'en servir pour enregistrer votre voix et utiliser cet enregistrement pour effectuer d'autres activités malveillantes, comme contourner l'authentification AuthentificationProcessus ou mesure permettant de vérifier l’identité d’un utilisateur. par reconnaissance vocale dans vos autres appareils.

Éléments à prendre en compte dans la sélection d'un dispositif

Lorsque vous choisissez un assistant numérique à commande vocale, assurez-vous de comprendre les conditions générales d'utilisation dans le contrat de licence d'utilisateur final. Posez-vous les questions suivantes avant de sélectionner un assistant numérique :

  • L'appareil a-t-il une option « appuyer pour activer »?
  • L'appareil a-t-il une option pour désactiver la fonction d'écoute afin de protéger les discussions et événements privés?
  • Quelles sont les données qui sont envoyées au service de traitement vocal?
  • Quelle est l'information retournée en réponse à une demande de service ou d'application?
  • Qui a accès aux données de voix brutes ou aux données texte?
  • Comment les données conservées sont-elles utilisées et pendant combien de temps?
  • Les données générées par l'appareil sont-elles chiffrées?
  • Où les données sont-elles stockées?
  • Les données sont-elles transmises à des tiers?

Prenez connaissance des politiques de protection des renseignements personnels et des pratiques de sécurité du fournisseur. Consultez les évaluations de produit et de sécurité pour déterminer si les bases de données du fournisseur ont des vulnérabilités ou si ses installations d'entreposage ont déjà fait l'objet d'intrusion. Optez pour des produits qui offrent des solutions de stockage local plutôt que de stockage infonuagique. En effet, le stockage local peut réduire le risque d'exposition aux vulnérabilités et aux intrusions des nuages.

Protection de l'assistant numérique

Lorsque vous configurez votre dispositif ou votre assistant numérique, déterminez à quelles informations éventuellement sensibles il peut accéder par l'entremise de votre réseau. Songez à isoler votre assistant numérique sur un réseau distinct, comme un réseau invité, pour protéger votre réseau principal en cas de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. . Pensez à mettre en œuvre certaines des pratiques exemplaires suivantes pour sécuriser votre appareil :

  • utilisez un mot de passe ou une phrase de passe robuste et unique pour votre assistant numérique;
  • configurez un NIP pour votre assistant numérique afin de prévenir l'utilisation non autorisée de l'assistant vocal;
  • ayez recours à l'authentification multifacteur (AMF) pour protéger les comptes et les dispositifs de votre réseau;
  • éteignez votre assistant numérique si vous devez discuter de sujets personnels ou sensibles à proximité de celui-ci;
  • vérifiez si votre appareil vous permet de désactiver les fonctions d'écoute active;
  • parcourez les applications de votre appareil et déterminez lesquelles sont autorisées à utiliser le microphone;
  • désactivez les fonctions de votre assistant numérique qui effectuent des actions ayant de lourdes conséquences sur le plan de la sécurité, comme déverrouiller des portes et contrôler des caméras;
  • désactivez les fonctions d'accès à distance des dispositifs lorsqu'elles ne sont pas nécessaires;
  • appliquez fréquemment les correctifs de sécurité et les mises à jour à vos logiciels et micrologiciels;
  • utilisez un réseau privé virtuel dans le réseau auquel votre assistant numérique est connecté;
  • examinez les autorisations des applications pour déterminer si elles doivent avoir accès au microphone et à vos conversations;
  • effacez régulièrement l'historique des demandes vocales pour veiller à ce qu'il n'y ait aucune banque de mémoire de votre profil vocal et du contenu de vos conversations;
  • vérifiez les paramètres de protection de la vie privée et désactivez ceux qui ne sont pas nécessaires;
  • téléchargez les applications des boutiques officielles seulement et évitez les applications de tiers qui sont plus susceptibles de contenir des maliciels.

Mesures pour corriger une compromission

Si vous soupçonnez des activités malveillantes sur votre assistant numérique à commande vocale ou sur d'autres dispositifs intelligents, vous devez agir rapidement pour minimiser les dommages. Voici ce que vous devez faire :

  1. éteignez l'appareil de l'IdO immédiatement;
  2. communiquez avec votre opérateur de réseau mobile pour localiser le point d'intrusion et déterminer quelles données ont été compromises;
  3. effectuez immédiatement une réinitialisation aux paramètres d'usine pour supprimer les configurations et les logiciels malveillants;
  4. après la réinitialisation, appliquez les dernières mises à jour de votre dispositif et les correctifs de sécurité appropriés;
  5. songez à des solutions de surveillance de votre réseau au niveau du réseau et de l'hôte;
  6. changez les mots de passe de tous les comptes et les appareils touchés et choisissez des mots de passe robustes et uniques.

Renseignez-vous sur le signalement de cyberincidents au Centre pour la cybersécurité.

Renseignements supplémentaires

Date de modification :