Principal Sécurité Pourquoi Alexa for Business d'Amazon est une idée terrible

Pourquoi Alexa for Business d'Amazon est une idée terrible

Votre Horoscope Pour Demain

Imaginez externaliser toutes ces tâches de bureau banales - gestion des calendriers, commande de fournitures, réservation de salles de réunion - à Alexa, l'assistante virtuelle à commande vocale d'Amazon. Avec le nouvel Alexa for Business d'Amazon, ce fantasme peut devenir réalité, mais potentiellement au détriment, selon certains chercheurs en cybersécurité, de graves risques de sécurité. Pensez à l'espionnage d'entreprise et aux hacks.

Jeudi, Amazon a lancé sa nouvelle version d'entreprise de son assistant virtuel populaire Alexa, qui fonctionne avec le haut-parleur Internet d'Amazon, l'Echo. Alexa for Business peut tout faire, de passer des appels téléphoniques à déterminer quand vous devez partir pour l'aéroport.

Mais le hacker au chapeau blanc William Caput prévient qu'Alexa for Business est un risque potentiel pour la sécurité des entreprises. Caput, qui effectue des tests d'intrusion sur les entreprises, affirme que les dispositifs d'écoute permanente, tels que téléviseurs intelligents et les assistants virtuels, transmettent des données à la société mère d'un produit pour qu'elles soient utilisées pour des choses comme l'exploration de données.

'Il semble très naïf pour une entreprise d'envisager d'utiliser quelque chose comme ça à moins qu'il n'existe une politique d'utilisation explicite qui stipule que certains types de transmission de données ne se produiront pas', explique Caput. 'Avant de l'utiliser, vous devez effectuer des tests de piratage rigoureux et déterminer ce qui est écouté et ce qui est envoyé.'

Amazon à l'écoute

Étant donné qu'Alexa peut être intégré à vos actifs informatiques tels que les téléphones et les calendriers, Tim Roddy de Fidelis Security indique que certaines données seront stockées dans l'infrastructure d'Alexa. Cela pourrait signifier que certaines données de l'entreprise sont stockées ou transmises à Amazon.

Caput dit qu'Amazon, en particulier, est incité à écouter et à rassembler des mots-clés qui peuvent ensuite être utilisés dans un marketing ciblé. le Wall Street Journa Je rapporte qu'Amazon affirme que le haut-parleur Echo n'envoie pas de données au cloud à moins que les utilisateurs ne 'réveillent' l'appareil en utilisant son nom - 'Alexa'. Mais, selon Caput, Alexa for Business n'a pas encore été rigoureusement testé par la communauté de la sécurité et les risques potentiels, les failles de sécurité et les vulnérabilités sont inconnus.

L'espionnage industriel

Les entreprises pratiquent l'espionnage d'entreprise pour avoir une longueur d'avance sur les transactions ou un avantage sur les progrès technologiques, comme le Uber Waymo affaire de secret commercial de voiture autonome. Caput affirme que les appareils sans fil sont des outils idéaux à exploiter à cette fin, car les appareils connectés ont des protocoles de sécurité minimaux. 'Un concurrent pourrait pirater l'appareil', explique Caput. « Je peux prendre le contrôle d'un ordinateur et accéder à leur webcam ou à un haut-parleur sans fil avec des outils accessibles au public. »

Piratage du gouvernement

est-ce que lexi thompson est lesbienne

L'espionnage du gouvernement est également un risque. « Vous pouvez demander à l'Agence de sécurité nationale d'écouter », dit Caput. « Vous avez tout l'appareil de sécurité qu'Ed Snowden a découvert : les écoutes sans mandat d'appareils. »

Bien que ces risques puissent sembler paranoïaques, en tant que cyberchercheur, Caput affirme que les appareils connectés sont un moyen privilégié de violer les protocoles de sécurité d'une entreprise. 'Ce n'est pas une théorie du complot', dit-il. 'J'ai vu ce type de piratage ou je l'ai fait moi-même avec des appareils Internet des objets.'

Rick McElroy suggère que les entreprises effectuent leur propre analyse des risques pour déterminer si cela vaut la peine d'intégrer une nouvelle technologie comme Alexa for Business. « La valeur de cette technologie dépasse-t-elle ou compense-t-elle le risque ? », déclare McElroy, stratège en sécurité chez Carbon Black, une entreprise de cybersécurité. « Si la réponse est « oui », alors un effort concerté doit être fait pour corriger en permanence lorsque des mises à jour sont disponibles et pour informer les employés sur les meilleures pratiques en matière de cybersécurité. »