Alexa for Business : technologie intelligente ou cauchemar pour la sécurité ?

07/05/20186 Min de Lecture

Les technologies intelligentes de nouvelle génération valent-elles la peine d’être intégrées à votre réseau informatique ? Considérez que vous devez déjà gérer au quotidien nombre de vulnérabilités en matière de sécurité informatique ; choisir une solution qui n’est pas sécurisée pourrait allourdir la charge qui pèse déjà sur votre temps et vos ressources.

Parlons d’Alexa for Business d’Amazon. Quand Amazon a annoncé son lancement, l’euphorie s’est emparée des observateurs. Parmi eux, Jordan Crook, de TechCrunch écrivait que « l’interface a basculé dans un nouveau mode », jugeant que les apps et les écrans appartenaient au passé, que 2018 serait l’année de la commande vocale. Problème, la supériorité d’Alexa for Business par rapport à sa version domestique est discutable. Pire, ceux qui en tireront le plus de bénéfices pourraient bien être en définitive les hackers.

Alexa face à Alexa for Business

L’enceinte Alexa d’Amazon est connectée à plusieurs appareils, que les utilisateurs peuvent allumer d’un simple mot pour écouter leur musique ou la radio, obtenir des informations sur la météo ou la circulation, prévoir des alarmes ou encore contrôler divers appareils domestiques intelligents. Alexa for Business fonctionne depuis le même équipement, mais sur la base d’un abonnement mensuel supplémentaire. Bien qu’on y trouve différents services intégrés – grâce aux partenariats entre AWS et Microsoft, Salesforce ou Splunk – il s’agit essentiellement d’une version améliorée de l’enceinte domestique. Les fonctions additionnelles sont les suivantes :

  • Le service informatique peut définir des administrateurs, des compétences, des utilisateurs, des appareils personnels et des appareils partagés ; en revanche, les administrateurs n’ont toujours pas accès aux enregistrements.
  • Si Alexa est déjà utilisé au domicile, il est possible de fusionner les comptes personnel et professionnel pour profiter des réglages déjà mis en place.
  • Alexa for Business intègre les conférences téléphoniques et l’organisation de plannings.
  • Elle est ouverte aux développements tiers, notamment via des API.

Des bénéfices peu probants

Selon Medium, des chercheurs ont découvert que l’employé de bureau moyen passe 4,5 heures par semaine à chercher des documents. Alexa for Business résout-elle ce problème de productivité ? A priori non. Notamment, elle n’est pas capable de trouver les documents de son utilisateur. En fait, Amazon Alexa ne sait rien faire parmi tout ce dont vous avez aujourd’hui besoin. Sauf, bien entendu, si les tâches de vos salariés consistent à n’effectuer des conférences téléphoniques et à organiser un planning. Pour rendre Alexa plus utile, il faudrait que votre équipe compte des développeurs talentueux. En attendant, un temps non négligeable d’installation et de formation à l’interface vocale seront nécessaires pour vos équipes, à moins de prendre le pari que vos employés soient à ce point férus d’Alexa qu’ils consacrent leur temps libre à sa maîtrise.

En échange, la commande vocale promet des gains de productivité minimes. Car convenons que se mettre à participer à une conférence téléphonique ou ajouter un événement au calendrier en se servant d’une souris ne sont pas des tâches particulièrement chronophages. En fait, les bénéfices ne tiennent qu’à l’implication de vos utilisateurs et de vos développeurs, voire à des cas d’utilisation exotiques. En définitive, pour le commun des entreprises, la productivité serait davantage améliorée avec une intelligence artificielle qui soit, elle, capable de trouver des fichiers, par exemple Butter.ai.

La criticité des données en question

Selon Amazon, Alexa n’enregistre pas en permanence, elle « écoute » en permanence. Ces équipements sont toujours allumés et en attente d’une commande vocale. Des enregistrements de vos commandes vocales (ainsi que des quelques secondes qui précèdent et suivent vos paroles) sont stockées et encryptées dans le cloud pendant une durée inconnue. Selon Brian Barrett de chez Wired, il est à minima possible d’effacer manuellement les enregistrements via l’application.

Il est préoccupant que des enregistrements provenant d’une enceinte Amazon Echo furent utilisés lors d’un procès aux États-Unis, fin 2016. On ne sait pas exactement ce qu’Alexa avait pu entendre, ni les données récupérées par les autorités, mais le rapport révèle que l’appareil a été utilisé pour diffuser de la musique le soir d’un meurtre et que la police a obtenu les données du cloud grâce à un mandat. Bien qu’il soit peu probable qu’un assistant personnel virtuel de bureau puisse faire condamner un de vos collaborateurs pour meurtre, il faut retenir que ces systèmes intelligents stockent des données potentiellement sensibles dans le cloud.

Évaluer les points faibles d’Alexa en matière de sécurité

L’année passée n’a pas été la meilleure en matière de sécurité. En août 2017, Mark Barnes, un spécialiste en la matière, a signalé une faille physique qui affecte les appareils Amazon Echo fabriqués avant 2017. Celle-ci permettait à toute personne sachant faire une soudure de créer une mise sur écoute permanente.

En septembre de la même année, des chercheurs de l’université chinoise de Zhejiang ont découvert comment attaquer Alexa et d’autres appareils à commande vocale à l’aide de commandes à ultrasons inaudibles pour l’oreille humaine. Cette méthode, dite « attaque du dauphin », ne nécessite que 2 à 3 euros d’investissement et quelques modifications sur un smartphone. La portée de l’attaque du dauphin est pour l’instant limitée à 1 ou 2 mètres. Il n’empêche, les chercheurs sont parvenus à utiliser la commande « ouvre la porte arrière » pour s’introduire dans le système de navigation d’une Audi Q3.

Enfin, un rapport Symantec daté de 2017 sur les assistants domestiques virtuels est parvenu à des conclusions mitigées au sujet des failles de sécurité d’Alexa :

  • L’avantage : une infection massive par un malware est peu probable, car ces appareils ne sont pas directement connectés à Internet.
  • L’inconvénient : bien que la plupart des piratages connus nécessitent une proximité physique avec l’appareil, de nombreux problèmes de sécurité potentiels existent, y compris des fuites de données stockées dans le cloud.

Déterminer si cette technologie intelligente en vaut la peine

Alexa for Business est un client supplémentaire sur votre réseau. En tant que professionnel de l’informatique, vous devez évaluer ses risques au regard de ses atouts : une nouvelle vulnérabilité doit être compensée par exemple un gain de productivité. Or, si certains clients disposent de systèmes de sécurité intégrée capables de surveiller les attaques et s’auto-réparer le cas échéant, ce n’est pas le cas d’Alexa for Business, qui n’a pas été pensée pour la sécurité. De fait, le risque est très important alors que le bénéfice est faible.

En somme, si vous cherchez un assistant intelligent sécurisé, qui facilite votre travail dès la première utilisation, mieux vaut attendre l’arrivée de nouvelles options, voire les prochaines versions. Cette solution intelligente n’est faite pour vous que si vous êtes déjà un utilisateur confirmé d’Alexa, avec un compte personnel bien rempli, et un travail essentiellement fait d’appels et de planification.</p>

Tektonika Staff 08/09/2018 6 Min de Lecture

La cyber-sécurité exploite l’apprentissage automatique pour …

Les chercheurs font rapidement progresser les capacités des intelligences artificielles, de sorte à assurer la surveillance constante et proactive...

Tektonika Staff 08/02/2018 6 Min de Lecture

Prévenir ou guérir : comment utiliser des ressources limitées en m…

Alors que les cyberattaques se font de plus en plus complexes, un débat animé fait rage au sujet des meilleures stratégies de défense. Michael Keller,...

Tektonika Staff 07/26/2018 5 Min de Lecture

Les premières cibles des cyber-criminels quand ils infiltrent un r…

Les appareils connectés à Internet qui fonctionnent en marge du réseau sont les cibles préférées des hackers. Michael Keller, le 13 mars 2018 Les choses...

  1. 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs requis sont marqués d'un astérisque *.