Logo ETI Quitter la lecture facile

Comment prendre le contrôle d’un bracelet connecté

Posté le par La rédaction dans Informatique et Numérique

Méfiez-vous de votre bracelet connecté ! Selon un expert de Kaspersky Lab, la plupart de ces appareils sont facilement piratables.

Un jour, par hasard, après avoir installé Android Wear (le système d’exploitation de Google destiné aux appareils intelligents) sur son nouveau bracelet connecté, Roman Unuchek, chercheur chez Kaspersky Lab, réussit à se connecter… au bracelet d’un collègue. 

Décidé à “réaliser une petite expérience”, le spécialiste en sécurité part du principe que la majorité des bracelets connectés fonctionnant sous Android 4.3 (ou une version ultérieure) communiquent avec d’autres appareils, comme un smartphone, via la technologie Bluetooth LE, ou “Bluetooth Smart”. “Cela signifie que la connexion entre les appareils ne s’opère pas de la même manière que dans une connexion Bluetooth classique. Il n’y a pas de mot de passe de jumelage. En effet, ces bracelets possèdent rarement un écran et/ou un clavier”, écrit-il sur le blog de Kaspersky Lab.

Une méthode d’authentification fragile

Selon Roman Unuchek, la méthode d’authentification employée dans plusieurs modèles courants permet à un tiers de se connecter de manière invisible au bracelet.

“Ces bracelets utilisent le profil d’attribut générique GATT (Generic Attribute Profile). Autrement dit, le bracelet contient une certaine sélection de services et chaque service possède un ensemble de caractéristiques. Chacune des caractéristiques contient un tampon d’octets et une liste de descripteurs. Chaque descripteur contient une valeur, le tampon de données”, explique le chercheur. Partant de ces observations, le chercheur a développé une application, qui cherchait automatiquement les appareils Bluetooth LE, et tentait de s’y connecter “pour obtenir la liste des services”.

A partir de son application, Roman Unuchek a réalisé des “balayages”. Il a ainsi passé deux heures dans le métro de Moscou – où il a réussi à se connecter à 19 appareils (11 FitBit et 8 Jawbone). “Pendant une heure dans une salle de sport de Bellevue, dans l’État de Washington aux Etats-Unis, ce sont 25 appareils qui ont été détectés : 20 Fitbit et un exemplaire de chacune des marques suivantes : Nike, Jawbone, Microsoft et Polar”, indique le chercheur.

Pour se connecter aux bracelets, Roman Unuchek a donc détourné la méthode d’authentification de ces appareils. Pour que la connexion s’établisse, l’utilisateur du bracelet doit la confirmer en appuyant sur son bouton d’appairement. ”Des pirates peuvent facilement contourner cette protection car la plupart des bracelets connectés récents sont dépourvus d’écran. Lorsque le bracelet vibre pour demander à son propriétaire de valider l’appairement, celui-ci n’a aucun moyen de savoir s’il s’agit d’une connexion avec son propre smartphone ou avec un autre”, explique-t-il.

Commandes éxécutées, données extraites et actions malveillantes

Ensuite, remarque Roman Unuchek, “il est facile d’exécuter des commandes sur l’appareil après l’authentification”. Il était par exemple capable de changer l’heure du bracelet. Il serait aussi possible d’extraire des données de l’appareil.

“Il semblerait que les fabricants de ces appareils ne se soucient pas beaucoup de la sécurité. Imaginez le cas d’un bracelet doté d’un capteur de fréquence cardiaque : si le propriétaire d’un magasin parvient à accéder aux données du bracelet, il pourra analyser les variations de la fréquence cardiaque de l’acheteur lorsque celui-ci voit une offre spéciale dans le magasin. Ceci est un bon moyen pour connaître la réaction du public par rapport à une publicité”, lance l’expert de Kasperky. Et d’ajouter : “un bracelet connecté doté d’un capteur de fréquence cardiaque qui a été compromis peut également servir de détecteur de mensonge.”

L’expert indique également que l’utilisateur d’un bracelet connecté est aussi susceptible d’être victime d’actions “plus malveillantes”, comme l’utilisation d’un malware permettant à un pirate de “prendre les commandes du bracelet et de le faire vibrer en permanence – le seul moyen d’interrompre ce comportement étant le versement d’une somme d’argent.”

Par Fabien Soyez

     

Et aussi dans les
ressources documentaires :

Pour aller plus loin

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !