Angers

Quand un chercheur prend le contrôle de nos bracelets connectés

Publié

le

Le Fitbit force , un bracelet connecté

Les beaux jours approchant, nombreux sont les sportifs qui comptent se remettre à la course à pied ou les moins sportifs à vouloir faire du sport avant l’épreuve du maillot de bain. Les accessoires connectés de toutes sortes sont aujourd’hui extrêmement répandus, et surtout dans le domaine du sport mais également dans la vie quotidienne, pour connaitre le nombre de pas que l’on fait dans la journée ou combien de calories on a éliminé… Or ces équipements renferment également des données personnelles vitales concernant leur propriétaire, raison pour laquelle il est essentiel de les sécuriser. Roman Unuchek, chercheur chez Kaspersky Lab, a ainsi examiné les interactions d’un certain nombre de bracelets connectés avec un smartphone et découvert quelques résultats surprenants.

D’après ses observations, la méthode d’authentification employée dans plusieurs modèles courants permet à un tiers de se connecter de manière invisible au bracelet, d’y exécuter des commandes voire – dans certains cas – d’en extraire des données. Sur les équipements étudiés par le chercheur, ces données se limitaient au nombre de pas effectués par leur porteur au cours de l’heure précédente. Cependant, à l’avenir, lorsqu’une nouvelle génération de bracelets collectant un volume accru de données plus variées apparaîtra sur le marché, le risque de voir fuiter des informations médicales sensibles pourrait nettement s’accentuer.

Une connexion pirate est rendue possible par la façon dont le bracelet est appairé avec un smartphone. Selon l’étude, un mobile fonctionnant sous Android 4.3 ou une version ultérieure, sur lequel est installée une application spéciale non autorisée, peut s’appairer avec les bracelets de certains fabricants. Pour que la connexion s’établisse, l’utilisateur du bracelet doit la confirmer en appuyant sur son bouton d’appairement. Des pirates peuvent facilement contourner cette protection car la plupart des bracelets connectés récents sont dépourvus d’écran. Lorsque le bracelet vibre pour demander à son propriétaire de valider l’appairement, celui-ci n’a aucun moyen de savoir s’il s’agit d’une connexion avec son propre smartphone ou avec un autre.

« Cette preuve de concept dépend de beaucoup de conditions pour fonctionner correctement et, en définitive, une attaque ne réussirait pas à pirater des données vraiment critiques telles que des mots de passe ou des numéros de carte de crédit. Cependant, cela démontre l’existence d’un moyen d’exploiter des failles laissées béantes par les développeurs des bracelets. Les modèles actuellement disponibles restent relativement peu élaborés, se bornant tout au plus à compter le nombre de pas et à suivre les cycles de sommeil. Toutefois, la deuxième génération de ces équipements se profile et ceux-ci seront capables de recueillir bien plus d’informations sur leurs utilisateurs. Il importe désormais de penser à la sécurité de ces appareils et de veiller à protéger correctement leurs interactions avec les smartphones », commente Roman Unuchek, analyste senior en malware

Pour éviter que le voisin puisse suivre nos prouesses physiques ou pire encore, les experts de l’éditeur d’antivirus conseillent aux utilisateurs de bracelets connectés qui sont préoccupés par la sécurité de leur appareil de vérifier auprès du fabricant si une attaque potentielle de ce type serait possible.

Les + vus

Quitter la version mobile