Anna, élève d’une école primaire, vit dans le quartier chic de Lücklemberg, à Dortmund. En vacances avec ses grands-parents sur l’île de Norderney, en mer du Nord, dans le quartier de Fischerhafen, Anna aime se promener sur le vieux port après le déjeuner, entre 14 heures et 15 heures, munies des jumelles de son grand-père. L’introduction de Maik Morgenstern, chercheur au sein d’AV-Test, fait froid dans le dos.
Cette organisation indépendante spécialisée dans l’évaluation des solutions de sécurité a décelé plusieurs vulnérabilités au sein de la smartwatch pour enfants répondant au nom de SMA-WATCH-M2. Elle a ainsi mis en lumière l’absence de sécurité des données de cette monte : les serveurs à laquelle elle est reliée hébergent des bases de données non chiffrées et ont délivré une série d’informations personnelles inquiétante, à l’image du cas Anna susmentionné.
Aux quatre coins du monde
La division d’AV-Test spécialisée dans les objets connectés sonne ainsi le signal d’alarme quant aux importantes failles décelées sur le produit fabriqué par la société chinoise Shenzhen Smart Care Technology Ltd. Vendu au prix de 35 dollars, ce modèle bon marché s’est depuis invité sur le poignet de milliers d’enfants, de la Turquie à la Pologne en passant par le Mexique, la Belgique, l’Espagne, les Pays-Bas, l’Allemagne et la Chine.
Ce objet connecté permet aux parents de suivre la géolocalisation de leur enfant, d’effectuer des appels vocaux et de recevoir des notifications lorsque leur progéniture quitte une zone prédéfinie, explique ZDNet. Et ce grâce à un système d’appareillage entre la montre et le smartphone du parent. Problème : toutes ces informations sont également à disposition de pirates informatiques mal intentionnés.
La montre connectée SMA-WATCH-M2 est toujours disponible sur plusieurs plateformes e-commerces. // Crédit photo : capture d’écran du site Aliexpress.
En premier lieu, les équipes de la société asiatique n’ont ni sécurisé leur serveur ni chiffré les communications de leur produit. Certes, un jeton d’authentification est bien généré pour empêcher tout accès non autorisé à l’API Web, mais aucune vérification n’est finalement effectuée par le serveur. Le jeton n’a donc aucune valeur. Pis : mettre la main sur les identifiants des utilisateurs fait aussi partie du champ d’action des hackers.
Conséquences : collecter les données des jeunes utilisateurs et des parents s’avère être un jeu d’enfant. Nom, adresse, images, messages vocaux, données de géolocalisation en temps réel, conversations personnelles : autant d’informations à la portée d’une personne rompue à quelques techniques de piratage. L’équipe d’AV-Test a même pu prendre connaissance du lieu de résidence d’Anna et de son trajet pour l’école.
Quand une brèche en appelle à une autre
Une seconde anomalie cette fois-ci repérée au sein de l’application mobile installée par les parents noircit encore plus cette affaire. Pour l’exploiter, il suffit d’installer l’application et d’ajouter les identifiants d’un utilisateur dans le fichier de configuration de l’application. En lançant cette dernière, le smartphone se connecte automatiquement au compte associé à l’ID préalablement indiqué. Et ce sans aucune authentification requise.
En ne respectant pas les normes minimales en matière de sécurité informatique, Shenzhen Smart Care Technology Ltd met en danger pas moins de 5000 enfants. Aux plateformes e-commerces de prendre des solutions radicales en supprimant cette smartwatch de leur catalogue. Si le site Pearl a d’ores et déjà sauté le pas, des géants comme Gearbest et Aliexpress la conservent encore.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
