Piéger Vista via le moteur de reconnaissance vocale

Il semble qu’une « faille » touchant la reconnaissance vocale de Vista ait été découverte et confirmée. Mais en fait de faille, il s’agit surtout d’une possibilité inhérente à la fonction que Microsoft reconnaît, mais contre laquelle il sera difficile de faire quoi que ce soit.

La reconnaissance vocale de Vista est un outil pratique, pouvant faire gagner un temps non négligeable, notamment dans la rédaction de courriers, ou pour les personnes présentant des incapacités physiques et qui peuvent dès lors piloter l’ensemble du système avec la voix. Même si la reconnaissance prend toute son ampleur lorsque l’on doit écrire une dose conséquente de texte, elle peut également servir à exécuter certaines actions, comme la gestion de fichiers (création, édition, suppression).


C’est de là que vient le problème, car certains ont imaginé l’envoi de fichiers MP3 qui contiendraient des instructions pour le module de reconnaissance vocale. Ces instructions se focaliseraient sur la suppression de documents et le vidage de la corbeille. Toutefois, comme le fait remarquer Microsoft, plusieurs conditions doivent être réunies :

• La reconnaissance vocale doit être active (elle n’est pas lancée automatiquement)
• Le micro et les enceintes doivent être allumés
• Il faut lancer soi-même le MP3 malveillant (sauf dans le cas d'un site lisant automatiquement un son via Flash par exemple)
  
• Il faut que l’utilisateur ne se rende compte de rien dans les premières secondes

Cela fait tout de même une conjoncture d’évènements qui tient du miracle. Il faut noter surtout que la reconnaissance vocale ne permet absolument pas d’effectuer des opérations lourdes et/ou vitales comme la création d’un compte utilisateur ou le formatage d’un disque dur à cause de l’UAC, car la fenêtre de confirmation ne peut être affectée que par un clic de la souris.

En d’autres termes, le problème existe, mais on ne peut pas parler de faille proprement dite. On pourrait très bien imaginer des fichiers musicaux piégés contenant des instructions malveillantes, mais il faudrait que l’utilisateur soit ailleurs, que le micro soit activé et surtout que la langue corresponde.

Source : MSRC

Vincent Hermann le 2 février 2007 à 10:28 (56 043 lectures)

Tweeter

• 08 / 01 / 2007 : Une vidéo de Sync, le projet de Ford et Microsoft
• 09 / 11 / 2006 : Vista officiellement terminé et prêt à commencer sa carrière
• 08 / 09 / 2006 : Vista : quid des améliorations sur la gestion du son ?
• 04 / 09 / 2006 : Vista RC1 : la reconnaissance vocale fonctionne-t-elle bien ?
• 09 / 08 / 2006 : Quelles langues pour la reconnaissance vocale sous Vista ?
• 31 / 07 / 2006 : Reconnaissance sous Vista: un plantage qui laisse sans voix
• 06 / 06 / 2006 : Vista sera plus accessible pour les utilisateurs

Actu Précédente Actu Suivante