Si vous faites votre jogging et qu’un intrus vient s’asseoir à côté de vous sur le banc d’un parc public, ordinateur portable sur les genoux, méfiez-vous. Il est peut-être en train de pirater votre bracelet Fitbit pour s’en servir ensuite comme cheval de Troie pour accéder à vos données personnelles sur vos ordinateurs.
Ce scénario digne d’un film d’espionnage n’a rien d’une fiction. Comme le rapporte The Register, la chercheuse en sécurité informatique Axelle Aprvrille doit détailler aujourd’hui au Luxembourg lors de la conférence Hack.lu le résultat de ses travaux sur les failles de sécurité des bracelets FitBit Flex, qui permettent de suivre l’activité physique de l’utilisateur.
La réponse est accompagnée du code malicieux
En dix secondes, elle réussit à pirater les bracelets FitBit à partir d’une connexion Bluetooth (sans appairage préalable) pour y injecter du code qui s’exécute ensuite lorsque l’accessoire se connecte à un ordinateur. Ce code peut envoyer discrètement un malware vers un PC.
« Lorsque la victime souhaite synchroniser ses données de fitness avec les serveurs FitBit pour mettre à jour son profil, (…) le tracker de fitness répond à la requête, mais en plus du message standard, la réponse est accompagnée du code malicieux », explique-t-elle.
Pour y parvenir, la hackeuse qui travaille à Nice pour la société Fortinet a réussi à reproduire par reverse-engineering une partie du protocole de communication des bracelets. Elle a ainsi déchiffré 24 types de messages envoyés par le FitBit Flex, et surtout 20 commandes envoyées par le Dongle USB fourni avec le bracelet, qui permet de s’y connecter sans fil en Bluetooth Low Energy à partir d’un PC ou un Mac.
Par ailleurs, Axelle Axprvrille a réussi à modifier les données collectées localement par le FitBit Flex, pour truquer les résultats envoyés aux serveurs de l’entreprise. Une manipulation qui permet de débloquer plus rapidement des récompenses offertes à ceux qui atteignent certains objectifs (par exemple par son assureur), ou même de modifier des données qui peuvent être produites comme preuves devant la justice.
FitBit a été prévenu dès le mois de mars de ces failles de sécurité, mais n’aurait pas jugé utile de les corriger urgemment.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !