La société californienne MiSafes s’est muée dans le silence ce vendredi 16 novembre. Et pour cause, les milliers de montres connectées pour enfants qu’elle a vendues dans le monde anglophone (et en France via Amazon) seraient particulièrement faciles à pirater. Deux chercheurs de la firme anglaise Pen Test Partners ont dévoilé leurs recherches au public pour démontrer que la société ne chiffre pas les données produites par la montre connectée et ne protège pas les appareils d’une série d’attaques simples.
« j’aurais aimé que cela soit plus compliqué »
Dotées d’un système de localisation GPS et d’une puce téléphonique 2G, les montres MiSafes permettent aux parents de visualiser sur un smartphone où se trouve leur enfant et éventuellement de l’appeler simplement. En outre, l’appareil permet aux parents d’écouter via le téléphone intégré ce que fait leur enfant porteur de la montre à n’importe quel moment. Selon la BBC, aucune de ces données, localisation, appels, ne sont chiffrées. En outre, les chercheurs contactés par le média britannique assurent avoir réussi à passer des appels sur des montres en se faisant passer pour l’application parentale. La montre, commercialisée pour les enfants dès trois ans, doit être retirée du marché selon les chercheurs.
MiSafes
Ken Munro et Alan Monie se sont lancés dans la mise à l’épreuve de la sécurité de l’appareil lorsqu’un de leur proche en a acheté une pour son fils à un prix dérisoire. Rapidement, ils ont réussi à utiliser un logiciel pour communiquer avec l’appareil. En outre, en communiquant avec la montre, ils ont pu récupérer toutes les informations sur l’enfant la possédant — une photo, son nom, son genre et sa date de naissance, son poids et sa taille, le numéro de téléphone des parents et le numéro de téléphone assigné à la puce.
Pire : en changeant l’identifiant de la montre avec laquelle ils communiquaient, ils ont pu obtenir ces mêmes renseignements pour d’autres enfants inscrits au programme de MiSafes. L’un des chercheurs a exprimé sa stupéfaction auprès de la télévision publique anglaise : « C’est le hack le plus simple à réaliser que nous n’avons jamais vu, ajoutant, j’aurais aimé que cela soit plus compliqué. Ça ne l’était pas. »
Pen Test Partners a établi une carte interactive des montres qu’ils ont pu pirater / Pen Test Partners
Un hack si simple que les deux chercheurs ont pu recenser que plus de 14 000 montres étaient utilisées partout sur le globe, notamment en France. Selon eux, chacune d’elle présente les mêmes faiblesses. L’utilisation de cette faille par des individus malintentionnés pourrait avoir des conséquences particulièrement graves. MiSafes avait déjà été épinglé en Norvège où la vente des produits la marque est découragée. Auprès de la BBC, eBay a confirmé avoir retiré de sa boutique toutes les montres connectées de la firme.
En France, la montre n’est plus disponible sur Amazon, sans que l’on sache si c’est par manque de stock ou à la suite d’une décision. L’entreprise californienne n’est pas inconnue des hackers après avoir vu son système de surveillance pour bébé critiqué pour des failles importantes l’an passé. À l’heure actuelle, le vendeur n’a toujours pas résolu ce problème sur cet appareil et ne le mettra probablement jamais à jour.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
