Est-ce que le père Noël ou n’importe qui d’autre a déjà offert à votre bambin une de ces montres connectées ?
Alors jetez-la. En effet, selon un nouveau rapport (PDF) du Norwegian Consumer Council (NCC), tous ces bracelets sont des objets connectés (IoT) avec sécurité déplorable !
Le point principal des montres connectées est de géolocaliser votre progéniture, mais certains modèles permettent également aux parents d’appeler ou d’envoyer des messages à leurs enfants. Après tout, c’est moins cher qu’un smartphone, et a moins de risque d’être enterré dans un bac à sable.
Tout comme les fabricants de drones lors de la réalisation de leurs engins, certains parents utilisent également les montres connectées GPS pour géo-repérer (geo-fence) leurs enfants : certains modèles envoient une alerte lorsqu’un enfant quitte une zone désignée. Certaines montres connectées ont une fonction SOS qui permet à un enfant d’envoyer un message d’urgence à un secouriste.
C’est génial, sauf quand cela ne l’est plus. Les chercheurs de la NCC ont examiné quatre modèles de montres connectées et ont constaté qu’elles pouvaient donner aux parents un sentiment de sécurité erroné. Certaines fonctionnalités, telles que les alertes SOS et geofencing, ne fonctionnent pas de manière fiable.
Et, le plus inquiétant, via des étapes simples, est que des inconnus peuvent prendre le contrôle de ces montres connectées. Étant donné le manque de sécurité au sein de ces appareils, des petits curieux peuvent écouter un enfant, leur parler dans le dos de leurs parents, utiliser l’appareil photo, suivre les mouvements de l’enfant ou encore donner l’impression que l’enfant est à un endroit alors qu’il n’y est pas.
Les chercheurs ont constaté que plusieurs de ces montres connectées transmettaient également des données personnelles à des serveurs situés en Amérique du Nord et en Asie de l’Est, et dans certains cas sans utiliser de chiffrement. L’une de ces montres connectées fonctionnait également comme un dispositif d’écoute, permettant au parent ou à un inconnu, ayant des connaissances techniques, de surveiller l’environnement de l’enfant, sans que la montre n’indique physiquement que le processus d’écoute était en cours !
Selon Finn Myrstad, directeur de la politique numérique chez NCC, “cela menace non seulement la protection de la vie privée des enfants, mais surtout leur propre sécurité”.
En attendant que ces problèmes soient résolus, ces montres ne devraient être dans aucun magasin, et encore moins au bras d’un enfant !
Selon le rapport, dans le cas d’une montre en particulier, le fait de connaitre le numéro de téléphone de l’utilisateur”donnait à un cybercriminel un accès complet à l’appareil”. Dans un autre cas, les chercheurs “ont découvert par inadvertance des données personnelles sensibles appartenant à d’autres utilisateurs, y compris des données de localisation, des noms et des numéros de téléphone”.
L’une de ces montres connectées a permis à des chercheurs de jumeler un gadget déjà existant avec un nouveau compte, leur permettant ainsi d’avoir accès aux données de l’utilisateur, y compris l’emplacement actuel de la montre, l’historique de géolocalisation, et les numéros de téléphone du compte, et ce sans avertir ce dernier !
Selon Myrstad, cité par CBS News :
Ces données peuvent être utilisées abusivement pour servir de nombreux objectifs différents, savoir où les enfants ont été, ce qui signifie obtenir des données extrêmement sensibles sur l’endroit où ils vivent, où ils vont à l’école. Nous sommes très, très loin des standards en matière de cybersécurité.
Selon The Telegraph, le revendeur britannique John Lewis a déjà répondu au rapport de la NCC en retirant du marché l’un des modèles de montres connectées, la Gator 2, que les chercheurs ont analysé.
Ils ont également testé les montres connectées Viksfjord et Xplora. Un quatrième modèle, la Tinitell, ne présentait pas de failles de sécurité majeures, mais n’avait pas non plus de protection claire de la vie privée, selon le rapport.
Selon CBS News, tous les modèles de montres connectées à l’exception de Xplora sont en vente aux États-Unis.
Enfin pour conclure, voici encore un nouvel objet connecté non sécurisé. Quelle surprise !
Monsieur le Père Noël et consorts, je commence à avoir les doutes suivants :
- Vous êtes tous des agents de la NSA. Cela expliquerait Hello, Barbie, la poupée espionne qui racontait des histoires, des blagues, jouait à des jeux interactifs et qui donnait naissance à la campagne “Hell No Barbie” menée par les groupes de protection de la vie privée. Cela expliquerait aussi sa soeur, My Friend Cayla, qui était équipée d’une caméra et d’une puce basée sur l’intelligence artificielle, pour interpréter les émotions des enfants … et que le watchdog allemand en matière de protection de la vie privée, avait déclaré être un “appareil d’espionnage illégal”, que les parents devaient détruire sans délai. Pour résumer, vous êtes soit des monstres, des espions du gouvernement, ou encore …
- Vous avez vraiment besoin d’aide pour sécuriser vos objets connectés.
Je pense que l’on est dans le cas N°2. Mais vous n’êtes pas les seuls : nous avons tous besoin d’aide pour sécuriser nos objets connectés !
Voici quelques conseils de sécurité sur la façon de procéder, idéalement avant Noël!
Billet inspiré de Kids’ smartwatches harbouring major security flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.