Une chercheuse française travaillant pour Fortinet a réussi à simuler le protocole de communication du FitBit pour pirater les bracelets à quelques mètres de distance, en Bluetooth, et y injecter du code malicieux qui s'exécute lors de la synchronisation avec l'ordinateur de la victime.

Si vous faites votre jogging et qu’un intrus vient s’asseoir à côté de vous sur le banc d’un parc public, ordinateur portable sur les genoux, méfiez-vous. Il est peut-être en train de pirater votre bracelet Fitbit pour s’en servir ensuite comme cheval de Troie pour accéder à vos données personnelles sur vos ordinateurs.

Ce scénario digne d’un film d’espionnage n’a rien d’une fiction. Comme le rapporte The Register, la chercheuse en sécurité informatique Axelle Aprvrille doit détailler aujourd’hui au Luxembourg lors de la conférence Hack.lu le résultat de ses travaux sur les failles de sécurité des bracelets FitBit Flex, qui permettent de suivre l’activité physique de l’utilisateur.

La réponse est accompagnée du code malicieux

En dix secondes, elle réussit à pirater les bracelets FitBit à partir d’une connexion Bluetooth (sans appairage préalable) pour y injecter du code qui s’exécute ensuite lorsque l’accessoire se connecte à un ordinateur. Ce code peut envoyer discrètement un malware vers un PC.

« Lorsque la victime souhaite synchroniser ses données de fitness avec les serveurs FitBit pour mettre à jour son profil, (…) le tracker de fitness répond à la requête, mais en plus du message standard, la réponse est accompagnée du code malicieux », explique-t-elle.

Pour y parvenir, la hackeuse qui travaille à Nice pour la société Fortinet a réussi à reproduire par reverse-engineering une partie du protocole de communication des bracelets. Elle a ainsi déchiffré 24 types de messages envoyés par le FitBit Flex, et surtout 20 commandes envoyées par le Dongle USB fourni avec le bracelet, qui permet de s’y connecter sans fil en Bluetooth Low Energy à partir d’un PC ou un Mac.

Par ailleurs, Axelle Axprvrille a réussi à modifier les données collectées localement par le FitBit Flex, pour truquer les résultats envoyés aux serveurs de l’entreprise. Une manipulation qui permet de débloquer plus rapidement des récompenses offertes à ceux qui atteignent certains objectifs (par exemple par son assureur), ou même de modifier des données qui peuvent être produites comme preuves devant la justice.

FitBit a été prévenu dès le mois de mars de ces failles de sécurité, mais n’aurait pas jugé utile de les corriger urgemment.

Partager sur les réseaux sociaux

Articles liés