L’ombre des hackers plane sur les objets connectés

Crédit : HB / flickr.com

Crédit : HB / flickr.com

L’utilisation des appareils connectés pour soutirer de l’argent et l’accès aux données sur la fréquence cardiaque des utilisateurs ne sont que deux des risques que présente le piratage de l’électronique portable (wearables), pointés par Roman Ounoutchek, spécialiste du Laboratoire Kaspersky.

Roman Ounoutchek, expert en risques mobiles du Laboratoire Kaspersky, est parvenu à pirater des dizaines de bracelets de fitness lorsqu’il testait leur sécurité. Sur son blog, le spécialiste présente une étude et les effets potentiels de ces appareils pour les utilisateurs.

L’accès aux gadgets portables est assuré par des applications mobiles spéciales utilisant la technologie de connexion Bluetooth LE, qui diffère notamment du Bluetooth classique par l’absence de mot de passe – la plupart des bracelets ne disposent simplement pas d’écran, ni de boutons permettant d’entrer un mot de passe. C’est une faille dans laquelle pourraient s’engouffre des malfaiteurs. Ounoutchek souligne qu’il est même possible de se connecter à un gadget déjà synchronisé avec le smartphone de son propriétaire.

Après une étude détaillée de la technologie d’authentification des appareils, Ounoutchek a créé un programme capable de scanner automatiquement son environnement proche et de se connecter aux bracelets intelligents.

L’auteur de l’étude cite des statistiques intéressantes. Dans le métro de Moscou, il a réussi à se connecter à 19 appareils 11 FitBit et à 8 Jawbone en deux heures. Dans un club de gym de la ville de Bellevue aux États-Unis, il a identifié 25 appareils en une heure : 20 Fitbit, un Nike, un Jawbone, un Microsoft, un Polar et un Quans. Lors de la conférence SAS2015 à Cancun (Mexique), Ounoutchek s’est connecté à 10 bracelets de fitness - 3 Jawbone et 7 FitBit  - en deux heures.

Il convient de préciser que l’expert en sécurité n’est pas parvenu à s’emparer des données personnelles (telles que nombre de pas ou phases de sommeil des propriétaires). Dans chaque cas, il a néanmoins pu accéder à la gestion des fonctions des bracelets.

Quel danger?

Ounoutchek cite deux risques d’accès non-autorisé aux bracelets intelligents. Dans le premier cas, le malfaiteur peut obliger l’appareil intelligent à vibrer continuellement et demander de l’argent pour désactiver cette fonction.

Pirater un bracelet doté d’un capteur de pouls permettrait, par exemple, au propriétaire d’une boutique de surveiller le pouls d’un acheteur lorsqu’il consulte les promotions proposées par son magasin, assure Ounoutchek. Objectif : connaître la réaction des consommateurs face à la publicité, décrypte Roman. En outre, un bracelet piraté doté d’un capteur de pouls peut également servir de détecteur de mensonge.

L’apparition de nouveaux capteurs et de mises à jour des applications pour les bracelets de fitness pourraient offrir de nouvelles possibilités aux pirates, avertit l’expert. Selon les statistiques de Juniper Research, le nombre de bracelets de fitness vendus au monde en 2014 s’élève à 19 millions de pièces. Selon les prévisions de la même société, leur nombre devrait atteindre 60 millions d’ici 2018.

La commercialisation des « montres intelligentes » Apple Watch devrait être lancée en avril 2015 – celles-ci surveilleront, entre autres, le rythme cardiaque des utilisateurs.

Dans le cadre d'une utilisation des contenus de Russia Beyond, la mention des sources est obligatoire.