Votre Kindle peut intéresser les pirates : un chercheur français l’a prouvé
Le 8 juillet 2026, l’agence de cybersécurité Synacktiv a révélé qu’un de ses chercheurs, Tanguy Dubroca, a réussi à prendre le contrôle d’un modèle récent de Kindle. Contrairement à une intrigue de film d’espionnage, cette intrusion s’est produite lorsqu’un utilisateur a ouvert un site Internet piégé sur sa liseuse, exploitant une vulnérabilité du navigateur intégré.
Cette découverte repose sur une présentation faite lors de l’événement leHACK 2026, le 27 juin 2026, intitulée Bootstrapping Kindle research for the lazy attacker. Les diapositives, accessibles sur le site de Synacktiv, détaillent les tests effectués sur un Kindle Paperwhite 5, modèle 2021, utilisant les firmwares 5.18.4 et 5.18.6, dans le but de contourner les protections du fabricant sans recourir aux outils de jailbreak existants.
Le Kindle, sous son apparence de simple liseuse, dispose d’un environnement logiciel complexe incluant un système Linux, des composants en Java, et des navigateurs comme Chrome et WebKit. Synacktiv souligne que cet appareil partage plus de caractéristiques avec un ordinateur ou un smartphone qu’avec un livre traditionnel.
Dubroca a adopté une approche quasi artisanale, motivé par le défi technique et sa propre expérience d’utilisateur. Il a choisi d’exploiter une vulnérabilité spécifique, CVE-2022-1364, qui affecte une version de Chrome intégrée au Kindle, permettant ainsi à un attaquant distant de compromettre la mémoire de l’appareil via une page HTML malveillante.
Bien que cette démonstration ne représente pas une attaque massive ni un ebook empoisonné, elle met en lumière les risques potentiels. Une fois la première vulnérabilité exploitée, il est possible de surveiller l’activité de l’appareil, de récupérer des informations de compte Amazon ou d’utiliser le Kindle pour accéder à d’autres équipements sur le même réseau Wi-Fi.
Les liseuses, contenant non seulement des livres mais également des informations personnelles et des documents, sont désormais intégrées dans un écosystème de plus en plus connecté. En décembre 2025, des recherches similaires avaient déjà révélé des failles de sécurité dans des livres audio malveillants, soulignant la nécessité d’une vigilance accrue.
Pour remédier à cette vulnérabilité, un correctif a été publié le 12 janvier 2026, après que le signalement a été transmis à Amazon le 1er décembre 2025. Amazon a confirmé que les mises à jour sont automatiquement installées lorsque l’appareil est connecté à un réseau sans fil, réduisant ainsi les risques potentiels.
Source : Synacktiv
