A l’été 2014, la société américaine Symantec tirait la sonnette d’alarme en prouvant que la plupart des dispositifs de suivi d’activité présentaient des failles inquiétantes de sécurité. Presque deux ans plus tard, peu de choses ont changé. L’organisation canadienne à but non lucratif Open Effect et l’Université de Toronto viennent de démontrer dans une étude que de nombreux problèmes persistent : les données personnelles produites par ces bracelets connectés, pour certaines plutôt sensibles, ne sont pas bien protégées.
Sur huit modèles passés au crible, sept sont ainsi vulnérables. Seule l’Apple Watch a réussi à passer tous les tests avec succès. Les autres doivent revoir leur copie. Il s’agit du Basis Peak d’Intel, du Charge HR de Fitbit, du Vivosmart de Garmin, du UP 2 de Jawbone, du Fuse de Mio, du Pulse 02 de Withings et du Mi Band de Xiaomi.
Le Vivosmart de Garmin est le plus vulnérable des bracelets
Le bonnet d’âne revient de très loin au Vivosmart de Garmin. Son application compagnon est la seule à ne pas utiliser du tout le protocole HTTPS, à la fois sur Android et iOS, pour chiffrer ses communications. Juste derrière, on trouve le Pulse 02, qui a recours au HTTPS pour la plupart de ses fonctions de sauvegarde, mais pas sous Android lorsqu’un utilisateur veut partager ses données avec un contact. Par conséquent, les informations des utilisateurs de ces deux trackers d’activité peuvent être potentiellement lues, modifiées ou effacées par des tiers malveillants.
Et cela pose un vrai problème. D’abord parce que un hacker malveillant pourrait utiliser ces données pour connaître, par exemple, votre position. On sait par ailleurs que les assurances et les mutuelles espèrent un jour utiliser ce genre de dispositifs pour suivre l’activité physique et l’état de leurs adhérents afin d’ajuster leurs tarifs.
Les auteurs de ce rapport ont aussi voulu savoir s’il était possible de falsifier les données qui sont générées automatiquement. Cela peut effectivement être réalisé par un tiers dans le cas du Vivosmart et du Pulse 02. Et uniquement par l’utilisateur lui-même dans le cas du Jawbone. De faux rapports d’activité ont ainsi été envoyés sur les serveurs sans que cela ne soit détecté, et ils ont ensuite été intégrés à l’application.
La plupart des trackers sont géolocalisables
Le dernier point critique concerne les communications entre le terminal mobile et le tracker lui-même qui se font toutes par Bluetooth. Le principal problème concerne l’adresse MAC spécifique émise par le bracelet lorsqu’il transmet des informations, ce qui lui permet d’être facilement reconnu par son terminal mobile. La version 4.2 de la norme Bluetooth, sorti en 2014, a corrigé cette faille grâce la fonction LE Privacy.
Mais l’Apple Watch est le seul tracker à en disposer. Concrètement, la montre d’Apple émet une nouvelle adresse MAC chaque fois qu’elle se connecte. Les autres bracelets de cette étude n’en sont pas équipés, alors même qu’ils sont sortis en 2015. Ils disposent donc d’une adresse fixe facilement repérable par une simple application, et ce même lorsque le bracelet n’est pas appairé avec un terminal mobile. Cela permet, par exemple, à un magasin de géolocaliser et de suivre les mouvements de quelqu’un via son bracelet et à son insu.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
