Une base de données de plusieurs gigaoctets a été découverte sur le web, exposant des millions d’informations personnelles provenant d’objets connectés et de dispositifs médicaux.
Une autre fuite de données… Cette fois, c’est une base de données de 16,71 gigaoctets avec 61 millions d’entrées. Il a été découvert par le site WebsitePlanet et contient des informations sur l’activité et la santé provenant de bracelets et de montres connectées.
L’équipe, dirigée par le chercheur en cybersécurité Jeremiah Fowler, a déterminé que la base de données, publiée en ligne sans aucune protection, provenait de GetHealth, basé à New York. La firme propose un service de synchronisation des données de santé de différents appareils connectés. Les informations présentées concernent des utilisateurs situés dans le monde entier.
Utilisateurs Fitbit et Apple les plus touchés
La base de données contient de nombreuses informations sensibles, notamment le nom et le prénom, le pseudonyme, la date de naissance, le poids, la taille, le sexe et la date de naissance. Au total, les données proviendraient de centaines d’objets connectés, de dispositifs médicaux et d’applications de fitness différents. Après une analyse partielle, les chercheurs ont cependant déterminé que les victimes utilisaient principalement des bracelets Fitbit et le Healthkit d’Apple, qui permet de synchroniser des objets connectés via un iPhone.
Contacté par l’équipe de WebsitePlanet, GetHealth a confirmé être propriétaire de la base de données et de l’accès sécurisé pendant la journée. Cependant, les chercheurs n’ont pas pu déterminer depuis quand l’information a été exposée, ni si quelqu’un d’autre y a accédé. Cela souligne une fois de plus à quel point il faut être vigilant avec les objets connectés et toutes les données qu’ils collectent.
Les montres connectées peuvent-elles être piratées ?
Détrompez-vous : la sécurité des smartphones a des points faibles. En effet, ces appareils ont déjà fait l’objet de quelques tentatives d’attaques. Cependant, alors que les montres connectées n’ont pas encore fait l’objet de nombreuses failles majeures, les white hats (aussi appelés « bons » hackers, c’est-à-dire ceux qui aident les entreprises à repérer les faiblesses de leurs produits/programmes/logiciels) ont révélé quelques failles de sécurité.
Hameçonnage
L’hameçonnage peut se produire si vous téléchargez une application frauduleuse et y entrez des informations personnelles. Ces applications sont plus courantes dans les magasins d’applications non officiels, mais pas totalement absentes des magasins d’applications Google et Apple. Ces fausses applications vous demandent de vous connecter à votre compte Google, puis un faux formulaire récupère vos informations d’identification, compromettant votre propre compte sans votre consentement.
Bluetooth Low Energy
La technologie Bluetooth Low Energy vous permet de coupler votre smartwatch avec votre téléphone, vos écouteurs et d’autres appareils. Cependant, le chiffrement des données Bluetooth présente des vulnérabilités en raison de la complexité de ses protocoles. En raison d’un cryptage des données inefficace, un criminel peut accéder de force à votre connexion avec un minimum d’effort (malheureusement, la technologie Bluetooth est une fonctionnalité de connexion importante sur les appareils qui fonctionnent principalement sans fil, comme les montres connectées).
Accéléromètre
Les données de l’accéléromètre aident votre smartwatch à suivre les mouvements, et ces données sont utilisées par les fonctions de santé et de forme physique, telles que le nombre de pas effectués.
Ces données d’accéléromètre peuvent également être analysées pour révéler les mots de passe et les numéros de carte de crédit. Les tendances des données de mouvement répétitif peuvent être utilisées pour déterminer les mouvements de frappe du clavier de l’ordinateur qui imitent vos informations d’identification. Certes, cela demande beaucoup de travail, ce qui réduit la probabilité que cette méthode de piratage soit utilisée, mais c’est possible. En fait, si les profits sont suffisamment importants, les cybercriminels peuvent choisir des cibles de plus grande valeur pour appliquer cette approche.
Mots de passe par défaut
Les mots de passe par défaut sont un outil d’arrière-plan technique utilisé pour accéder aux appareils connectés. Comme ceux-ci restent inchangés après que vous ayez ramené ces appareils chez vous, un pirate peut facilement trouver votre mot de passe en ligne ou acheter ces mots de passe par défaut sur le dark web.
Pour empêcher cet accès facile, les consommateurs doivent d’abord être conscients de son existence.
Habituellement, les fabricants enterrent les instructions de changement de mot de passe dans des manuels techniques qu’un utilisateur ne lit jamais. Parfois, vous devrez contacter directement l’entreprise pour mettre à jour correctement votre mot de passe. Cependant, certains propriétaires qui ont acheté des montres connectées moins chères omettent même de contacter le fabricant d’origine.
Les produits en ligne bon marché sont généralement achetés en gros et commercialisés sous une nouvelle marque par des tonnes de distributeurs secondaires. De nombreuses montres pour enfants sont vendues de cette manière, ce qui constitue une menace majeure pour la sécurité. C’est pourquoi il est préférable d’acheter des montres connectées uniquement auprès de marques fiables et connues, comme Apple, Fitbit ou Garmin, etc.
Reconfiguration par SMS
Il a été découvert que certaines montres connectées pour enfants peuvent être piratées simplement en leur envoyant un SMS. Grâce à des SMS spécifiques, certaines montres peuvent être reprogrammées au profit du pirate. Cette méthode permet de coupler la montre avec le téléphone du criminel, ce qui lui donne plus de contrôle et un meilleur accès à l’appareil. Le pirate peut alors suivre la montre à l’aide du GPS, et il peut même appeler l’utilisateur.
Bien que cette découverte ait été faite sur des modèles pour enfants bas de gamme, de nombreuses autres montres connectées moins chères peuvent présenter des vulnérabilités similaires. C’est parce que quand le développeur crée un produit d’entrée de gamme, les fabricants de produits à bas prix n’accordent généralement pas beaucoup d’importance à la sécurité et préfèrent se concentrer sur l’utilisabilité. En revanche, des marques haut de gamme réputées comme Apple prennent plus de responsabilités, mais se heurtent encore souvent à ce débat entre praticité et sécurité.
Ces problèmes de sécurité ont incité les fabricants à mettre à niveau leurs produits en mettant davantage l’accent sur le cryptage et la protection contre les logiciels malveillants de l’App Store. Cependant, en raison du manque de normes de l’industrie, il est impossible de garantir que tous les produits seront correctement protégés.
