j’ai réussi à pirater mon bracelet connecté !

J'ai réussi à pirater mon bracelet connecté, et ainsi examiné les interactions d'un certain nombre de bracelets connectés avec un smartphone

Ces équipements renferment également des données personnelles vitales concernant leur propriétaire, raison pour laquelle il est essentiel de les sécuriser. Roman Unuchek, chercheur chez Kaspersky Lab, a ainsi examiné les interactions d’un certain nombre de bracelets connectés avec un smartphone et découvert quelques résultats surprenants.

D’après ses observations, la méthode d’authentification employée dans plusieurs modèles courants permet à un tiers de se connecter de manière invisible au bracelet, d’y exécuter des commandes voire – dans certains cas – d’en extraire des données. Sur les équipements étudiés par le chercheur de Kaspersky Lab, ces données se limitaient au nombre de pas effectués par leur porteur au cours de l’heure précédente. Cependant, à l’avenir, lorsqu’une nouvelle génération de bracelets collectant un volume accru de données plus variées apparaîtra sur le marché, le risque de voir fuiter des informations médicales sensibles pourrait nettement s’accentuer.

Une connexion pirate est rendue possible par la façon dont le bracelet est appairé avec un smartphone. Selon l’étude, un mobile fonctionnant sous Android 4.3 ou une version ultérieure, sur lequel est installée une application spéciale non autorisée, peut s’appairer avec les bracelets de certains fabricants. Pour que la connexion s’établisse, l’utilisateur du bracelet doit la confirmer en appuyant sur son bouton d’appairement. Des pirates peuvent facilement contourner cette protection car la plupart des bracelets connectés récents sont dépourvus d’écran. Lorsque le bracelet vibre pour demander à son propriétaire de valider l’appairement, celui-ci n’a aucun moyen de savoir s’il s’agit d’une connexion avec son propre smartphone ou avec un autre.

« Cette preuve de concept dépend de beaucoup de conditions pour fonctionner correctement et, en définitive, une attaque ne réussirait pas à pirater des données vraiment critiques telles que des mots de passe ou des numéros de carte de crédit. Cependant, cela démontre l’existence d’un moyen d’exploiter des failles laissées béantes par les développeurs des bracelets. Les modèles actuellement disponibles restent relativement peu élaborés, se bornant tout au plus à compter le nombre de pas et à suivre les cycles de sommeil. Toutefois, la deuxième génération de ces équipements se profile et ceux-ci seront capables de recueillir bien plus d’informations sur leurs utilisateurs. Il importe désormais de penser à la sécurité de ces appareils et de veiller à protéger correctement leurs interactions avec les smartphones », commente Roman Unuchek, analyste senior en malware chez Kaspersky Lab.

Pour éviter que le voisin puisse suivre nos prouesses physiques ou pire encore, les experts de Kaspersky Lab conseillent aux utilisateurs de bracelets connectés qui sont préoccupés par la sécurité de leur appareil de vérifier auprès du fabricant si une attaque potentielle de ce type serait possible.

Pour un Hacker facile…

J’ai donc pu me connecter à certains bracelets en utilisant l’échantillon d’application trouvé dans Android SDK. J’ai ensuite développé une petite application qui cherchait automatiquement les appareils Bluetooth LE et tentait de s’y connecter pour obtenir la liste des services.

J’ai réalisé quelques balayages à l’aide de cette application.

• J’ai passé deux heures dans le métro de Moscou et j’ai réussi à me connecter à 19 appareils : 11 FitBit et 8 Jawbone.
• Pendant une heure dans une salle de sport de Bellevue, dans l’État de Washington aux Etats-Unis, ce sont 25 appareils qui ont été détectés : 20 Fitbit et un exemplaire de chacune des marques suivantes : Nike, Jawbone, Microsoft, Polar et Quans.
• Au cours d’une période de deux heures à Cancun (Mexique) lors de SAS2015, j’ai pu me connecter à 10 bracelets : 3 Jawbone et 7 FitBit.

Après 6 heures de balayage, j’avais réussi à me connecter à 54 bracelets. Et ce, malgré deux restrictions de tailles :

1. Bien que les spécifications évoquent une portée de 50 m, la distance maximale réelle pour pouvoir établir une connexion n’a jamais été supérieure à 6 m dans la majorité des cas.
2. Il est généralement admis qu’il est impossible de se connecter à un appareil qui est déjà en communication avec un autre. Autrement dit, si votre appareil est jumelé à votre téléphone, personne ne peut s’y connecter. Il ne doit même pas apparaître lors du balayage.

Source et suite ICI