Quand votre liseuse peut faire fuiter vos données financières

Les cybercriminels ne manquent pas d’imagination pour s’approprier les données financières de leurs victimes. La dernière attaque dans ce domaine, KindleDrip, vise plus particulièrement les gros lecteurs. Et en particulier, les utilisateurs de liseuse Kindle commercialisée par Amazon (ou d’application Kindle sur smartphone et tablette). Le chercheur qui l’a découvert, Yogev Bar-On, s’est penché sur l'une des fonctionnalités du service dédié à la lecture numérique, « Send it to Kindle ». Celle-ci permet d’envoyer un livre vers l’une des liseuses Kindle en pièce jointe d’un mail. Une fois le mail reçu, l’appareil charge en effet automatiquement le livre à la synchronisation suivante et l’ajoute à la bibliothèque de son propriétaire. Mais que se passe-t-il si le livre envoyé est un fichier corrompu ? À l’ouverture, le livre va récupérer les données stockées dans l’appareil, y compris les modes de paiement associés au compte Amazon du propriétaire de la liseuse et se servir des connexions Internet de celle-ci pour les remonter aux criminels. Yogev Bar-On a trouvé trois failles différentes dans le service « Send it to Kindle » qui pourrait servir à ce type d’attaques et les a signalées à Amazon qui a mis à jour ses appareils. Il pointe néanmoins une vulnérabilité importante de ce genre de service : il n’y a pas de vérification de l’authenticité des mails envoyés alors qu’il est très facile de se créer une fausse adresse mail pour envoyer un fichier corrompu sur une ou plusieurs liseuses. Ses explications détaillées sont accessibles en ligne : https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08.