Les montres connectées peuvent être piratées en utilisant des failles présentes dans le système Bluetooth.
Le Bluetooth est utilisé pour effectuer l’échange des données entre votre smartphone et votre montre connectée. Il s’agit donc d’un instrument nécessaire au bon fonctionnement de la plupart des smartwatches.
Ainsi, lorsque vous recevez un SMS (ou un email) et que son contenu s’affiche sur votre montre, la smartphone envoie le texte par l’interface Bluetooth directement à votre montre. Des données sensibles peuvent donc transiter par Bluetooth !
Sommaire
Maintenant qu’on a vu comment les informations sont échangées entre votre montre connectée et votre téléphone, il est assez facile d’imaginer comment un pirate informatique bien équipé peut récupérer des informations confidentielles.
Il lui suffit d’utiliser un appareil qui va analyser et enregistrer toutes les informations qui circulent par Bluetooth.
Si dans le cadre d’une utilisation privée (à la maison, par exemple) il y a peu de risque. On peut supposer qu’il est beaucoup plus intéressant pour un pirate d’obtenir des données privées dans les transports en commun ou durant une réunion importante.
C’est d’autant plus inquiétant que les montres connectées sont maintenant parfois dotées d’un système de paiement en ligne. Un pirate pourrait donc récupérer à votre insu vos informations bancaires (et de paiement) !
C’est la société Bitdefender qui a mis le doigt sur ce problème.
Il s’agit d’une entreprise spécialisée dans la sécurité informatique dont le but est de trouver et corriger des failles dans les systèmes.
Les ingénieurs de Bitdefender ont donc réussi à obtenir des informations confidentielles sur une montre connectée Samsung Gear Live connecté à un smartphone Google Nexus 4 (avec Android L).
Le problème semble pour le moment surtout concerner la plateforme Android Wear. C’est logique puisque les autres systèmes sont encore confidentiels ou – plus simplement – non disponible (Apple Watch).
L’attaque menée est du type « brute force ». Il s’agit d’une attaque dans laquelle on va chercher à obtenir un accès au système en utilisant un maximum de combinaisons techniques possible. C’est donc un attaque qui demande beaucoup de temps pour être fonctionnelle.
Je ne pense pas qu’il faille s’inquiéter pour le moment.
D’une part, l’attaque mis en évidence par Bitdefender est assez complexe à mettre en œuvre. Son efficacité semble aussi limitée dans la mesure ou elle demande du temps et qu’il faut être assez proche (voir très proche) de la montre pour qu’elle fonctionne.
Il s’agit donc plus d’une alerte qui vise à nous faire garder notre vigilance.
Comme tous les systèmes informatiques, les montres connectées finiront sans doute par être au centre d’un piratage massif de données.
Je pense cependant que le problème viendra sans doute plus d’une application installée sur la montre que d’un problème lié à la connexion de celle-ci à un smartphone.
A ce sujet, Android Wear risque d’être sujet à plusieurs controverse dans les années à venir ; de la même manière qu’Android il y a quelques années à fait couler beaucoup d’encre…
Source : SmartWatches.org