Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Votre bracelet FitBit peut être piraté

Une chercheuse française travaillant pour Fortinet a réussi à simuler le protocole de communication du FitBit pour pirater les bracelets à quelques mètres de distance, en Bluetooth, et y injecter du code malicieux qui s'exécute lors de la synchronisation avec l'ordinateur de la victime.

Si vous faites votre jogging et qu'un intrus vient s'asseoir à côté de vous sur le banc d'un parc public, ordinateur portable sur les genoux, méfiez-vous. Il est peut-être en train de pirater votre bracelet Fitbit pour s'en servir ensuite comme cheval de Troie pour accéder à vos données personnelles sur vos ordinateurs.

Ce scénario digne d'un film d'espionnage n'a rien d'une fiction. Comme le rapporte The Register, la chercheuse en sécurité informatique Axelle Aprvrille doit détailler aujourd'hui au Luxembourg lors de la conférence Hack.lu le résultat de ses travaux sur les failles de sécurité des bracelets FitBit Flex, qui permettent de suivre l'activité physique de l'utilisateur.

En dix secondes, elle réussit à pirater les bracelets FitBit à partir d'une connexion Bluetooth (sans appairage préalable) pour y injecter du code qui s'exécute ensuite lorsque l'accessoire se connecte à un ordinateur. Ce code peut envoyer discrètement un malware vers un PC.

« Lorsque la victime souhaite synchroniser ses données de fitness avec les serveurs FitBit pour mettre à jour son profil, (...) le tracker de fitness répond à la requête, mais en plus du message standard, la réponse est accompagnée du code malicieux », explique-t-elle.

Pour y parvenir, la hackeuse qui travaille à Nice pour la société Fortinet a réussi à reproduire par reverse-engineering une partie du protocole de communication des bracelets. Elle a ainsi déchiffré 24 types de messages envoyés par le FitBit Flex, et surtout 20 commandes envoyées par le Dongle USB fourni avec le bracelet, qui permet de s'y connecter sans fil en Bluetooth Low Energy à partir d'un PC ou un Mac.

https://youtu.be/qa8qVAPPlTE

Par ailleurs, Axelle Axprvrille a réussi à modifier les données collectées localement par le FitBit Flex, pour truquer les résultats envoyés aux serveurs de l'entreprise. Une manipulation qui permet de débloquer plus rapidement des récompenses offertes à ceux qui atteignent certains objectifs (par exemple par son assureur), ou même de modifier des données qui peuvent être produites comme preuves devant la justice.

FitBit a été prévenu dès le mois de mars de ces failles de sécurité, mais n'aurait pas jugé utile de les corriger urgemment.