Passer au contenu

Espionner les objets connectés, c’est facile grâce au Bluetooth LE

Dans la plupart des cas, les mécanismes de sécurité proposés par le protocole Bluetooth Low Energy ne sont pas bien implémentés. Voire pas du tout.

De plus en plus d’objets connectés utilisent le protocole Bluetooth Low Energy  (BLE) pour transmettre des données ou se connecter : smartphones, bracelets fitness, montres connectées, iBeacons, gadgets en tout genre… Mais de plus en plus d’études montrent aussi que ces flux de données sont loin d’être sécurisés et permettent de capter des données personnelles.

Les chercheurs en sécurité de Context Information Security se sont récemment penchés sur la question et ont développé une application Android qui permet de scanner les objets connectés à une centaine de mètres autour de soi. Mieux : il est souvent possible d’identifier ces objets de manière unique. Grâce à une base de données, on peut donc créer des rapports d’activité dans le temps. Parfois, il est même possible de savoir quel est le type d’appareil en question. Un peu de corrélation suffit alors pour, par exemple, détecter la présence de votre patron, de votre femme, de votre voisin, etc.

L'application Ramble de Context  Information Security.
L’application Ramble de Context Information Security.

Comment est-ce possible ? Tous ces objets émettent en permanence des paquets intégrant une adresse MAC pour signaler leur présence et inviter à se connecter. Pour éviter la surveillance, le protocole BLE a été doté d’un mécanisme baptisé « LE Pricacy » qui change de manière aléatoire l’adresse qui est broadcastée. Malheureusement, les chercheurs constatent que cette fonction est mal implémentée : pour la plupart des objets testés, l’adresse reste fixe. C’est par exemple le cas du bracelet FitBit. Dans d’autres cas, c’est pire : les adresses des fabricants Nike ou MI, par exemple, commencent toutes de la même manière. Pratique pour identifier les appareils.

Des fabricants, visiblement peu motivés par la sécurité

D’autres encore n’ont aucune stratégie en matière de protection des données personnelles et intègrent aux paquets de présence des informations spécifiques : le nom du constructeur, le modèle d’appareil, un identifiant unique, etc. Exemple : « Garmin Vivosmart#12345678 », « Galaxy Gear 1234 »,  « La montre de Trucmuche », etc. Ce qui, évidemment, annule totalement l’avantage que pourrait donner le mécanisme « LE Privacy ». A ce niveau-là, c’est donc un choix délibéré. Visiblement, les fabricants sont plus intéressés à sortir leurs produits le plus rapidement possible que de s’attarder avec des questions de sécurité.

L’étude de Context n’est qu’une parmi d’autres. En 2014, Symantec avait déjà alerté le public sur le manque de sécurité des accessoires connectés. En janvier, le chercheur italien Simone Margaritelli a découvert une vulnérabilité dans le processus d’authentification du Nike Fuel Band permettant, dans certaines conditions, à n’importe qui de s’y connecter pour siphonner les données. En matière de sécurité, les fabricants d’objets connectés ont donc encore du chemin à faire.

Lire aussi :

Etude : 80% des objets connectés mettent en danger votre vie privée, le 29/07/2014

Source :

Note de blog de Context

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn