Danger ! La méthode d’authentification employée dans plusieurs modèles courants de bracelets permet à un tiers de se connecter de manière invisible au bracelet, d’y exécuter des commandes, voire -dans certains cas- d’en extraire des données…
Telle est la conclusion de Roman Unuchek, chercheur chez Kaspersky Lab, qui a examiné les interactions d’un certain nombre de bracelets connectés avec un smartphone.
Sur les équipements étudiés, ces données se limitaient au nombre de pas effectués par leur porteur au cours de l’heure précédente. Rien de grave. Cependant, à l’avenir, lorsqu’une nouvelle génération de bracelets collectant un volume accru de données plus variées apparaîtra sur le marché, le risque de voir fuiter des informations médicales sensibles pourrait nettement s’accentuer.
Une connexion pirate est rendue possible par la façon dont le bracelet est appairé avec un smartphone. Selon l’étude, un smartphone fonctionnant sous Android 4.3 ou une version ultérieure, sur lequel est installée une application spéciale non autorisée, peut s’appairer avec les bracelets de certains fabricants.
Pour que la connexion s’établisse, l’utilisateur du bracelet doit la confirmer en appuyant sur son bouton d’appairement. En réalité, il est possible de contourner cette protection, la plupart des bracelets connectés récents étant dépourvus d’écran. Lorsque le bracelet vibre pour demander à son propriétaire de valider l’appairement, celui-ci n’a aucun moyen de savoir s’il s’agit d’une connexion avec son propre smartphone… ou avec un autre.
«Cette preuve de concept dépend de beaucoup de conditions pour fonctionner correctement et, en définitive, une attaque ne réussirait pas à pirater des données vraiment critiques telles que des mots de passe ou des numéros de carte de crédit, nuance Roman Unuchek. Cependant, cela démontre l’existence d’un moyen d’exploiter des failles laissées béantes par les développeurs des bracelets.»
