Un chercheur en sécurité a découvert des failles dans la liseuse Kindle d’Amazon, et, pour les mettre en évidence, a développé des e-books infectés par un logiciel malveillant, qui lui ont permis de hacker la liseuse et d’en prendre le contrôle. Amazon a depuis corrigé les failles en question.
Le 6 août 2021, le chercheur en sécurité Slava Makkaveev, de Check Point, a publié les résultats de ses travaux sur la liseuse Kindle d’Amazon. Il y révèle qu’un appareil de ce type peut, lui aussi, se faire pirater, comme à peu près n’importe quel objet connecté.
Deux failles de sécurité découverts sur l’Amazon Kindle
Slava Makkaveev a notamment mis à jour deux failles de sécurité qui permettent de hacker et de prendre le contrôle d’une liseuse Kindle. La première permet de s’introduire dans l’appareil à distance, la seconde de récupérer des droits administrateur.
Pour tester ces failles, il a développé un e-book malveillant, contenant un logiciel tirant partie de ces vulnérabilités. Sachant qu’il est possible de s’auto-publier sur le magasins d’e-books d’Amazon, et qu’un particulier peut très bien télécharger un fichier de ce type venant d’une source tierce, cette technique d’infection semble parfaitement réaliste.
Slava Makkaveev rappelle que cette intrusion est une première. Aucun cas d’infection d’une liseuse par un e-book n’a jamais été reporté et, de fait, aucun antivirus ne dispose du moindre morceau de code pour identifier de potentielles menaces sur ce type d’appareil.
Pourquoi un pirate pourrait vouloir hacker une liseuse ?
Le chercheur en sécurité a transmis les résultats de ses recherches à Amazon, qui a publié un correctif en avril. Si vous possédez une liseuse Kindle, elle s’est automatiquement mise à jour lors de votre dernière connexion à Internet, et ne pourra plus se faire hacker via ces deux failles.
Reste une question : hacker une liseuse a-t-il le moindre intérêt ? Si aucun pirate n’a jamais envisagé ce type d’attaque, c’est peut-être qu’il ne s’avère pas rentables. Dans les faits, une liseuse ne contient que peu de données sensibles, elle ne peut même pas être utilisée pour une attaque DDoS avec des objets connectés zombies.
En revanche, elle peut révéler les identifiants Amazon d’un particulier et, éventuellement, servir de porte d’entrée vers son réseau, ordinateur ou smartphone. Autant dire qu’il y a assez peu de chances que des attaques à grande échelle de ce type aient lieu. Mais pour viser une personne en particulier, une liseuse pourrait être un point de départ intéressant pour des cybercriminels…