Mise à jour du 20 mars : Xiaomi a mis à jour le logiciel du Mi Electric Scooter ce lundi 18 mars avec la nouvelle version de l’application Mi/Xiaomi Home. Elle corrige les faiblesses permettant de hacker la trottinette électrique.
Mise à jour du 14 février : Interrogée à propos de la faille, Xiaomi nous a expliqué avoir « commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée ». La firme précise également que « les équipes produits et sécurité de Xiaomi préparent une mise à jour qui sera disponible au plus vite ».
Dans un rapport publié le mardi 12 février, la société de sécurité Zimperium révèle avoir découvert une faille dans les trottinettes Xiaomi M365. La firme a ensuite créé une application permettant de prendre le contrôle de n’importe lequel de ces véhicules dans un rayon de 100 mètres, comme elle le montre dans la vidéo ci-dessous.
Ce piratage est rendu possible à cause de l’utilisation du Bluetooth dans de nombreuses fonctions de l’engin : le système antivol, le réglage de la vitesse ou encore la mise à jour des programmes de la trottinette. En piratant le Bluetooth, on a alors accès à presque toutes les capacités de la M365.
L’équipe de Zimperium explique que « pour accéder à ces fonctions, l’utilisateur peut utiliser une application dédiée, protégée par un mot de passe. » Pas de problème jusqu’ici, mais « le mot de passe ne concerne que l’application, pas la trottinette ». Cela signifie que le module Bluetooth du véhicule n’a aucun moyen de défense face à un piratage. Il a donc été possible de créer une app utilisant cette faille et permettant d’accéder à la M365 sans avoir besoin d’identifiant.
Des possibilités dangereuses pour les utilisateurs
Voir le système antivol de sa trottinette électrique rendu inutile est déjà problématique, mais les utilisateurs pourraient même être en danger à cause de cette faille. Zimperium a identifié trois façon d’utiliser cette dernière :
- une attaque par déni de service pour bloquer l’engin,
- l’installation d’un virus pour en prendre le contrôle,
- une attaque ciblée provoquant une accélération soudaine.
Dans ce dernier cas, la société déclare avoir déjà créé « un programme capable de faire accélérer la trottinette. Il ne sera pas révélé par mesure de sécurité ».
Zimperium affirme avoir transmis le résultat de ses recherches à Xiaomi, mais la société chinoise n’aurait pas encore proposé de mise à jour pour régler le problème. Sachant que la M365 est utilisée par des services de déplacement aux États-Unis, la situation peut inquiéter.
Radi Idan, chercheur en sécurité chez Zimperium, expliquait à The Verge que la faille « peut impliquer les services de transports qui utilisent les trottinettes Xiaomi et qui n’ont pas désactivés ou remplacés son module Bluetooth ». Il ajoute également que certains de ces véhicules « sont vendus sous des noms différents, mais peuvent aussi être touchés ». Il faudra donc vite réagir avant qu’un groupe moins bienveillant que Zimperium n’utilise la faille.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.