La marque californienne MiSafes commercialise des montres connectées (pour les parents) qui ont été attaquée, facilement, par un duo de chercheurs anglais. Les 14 000 modèles en circulation présentent des failles graves.

La société californienne MiSafes s’est muée dans le silence ce vendredi 16 novembre. Et pour cause, les milliers de montres connectées pour enfants qu’elle a vendues dans le monde anglophone  (et en France via Amazon) seraient particulièrement faciles à pirater. Deux chercheurs de la firme anglaise Pen Test Partners ont dévoilé leurs recherches au public pour démontrer que la société ne chiffre pas les données produites par la montre connectée et ne protège pas les appareils d’une série d’attaques simples.

 « j’aurais aimé que cela soit plus compliqué »

Dotées d’un système de localisation GPS et d’une puce téléphonique 2G, les montres MiSafes permettent aux parents de visualiser sur un smartphone où se trouve leur enfant et éventuellement de l’appeler simplement. En outre, l’appareil permet aux parents d’écouter via le téléphone intégré ce que fait leur enfant porteur de la montre à n’importe quel moment. Selon la BBC, aucune de ces données, localisation, appels, ne sont chiffrées. En outre, les chercheurs contactés par le média britannique assurent avoir réussi à passer des appels sur des montres en se faisant passer pour l’application parentale. La montre, commercialisée pour les enfants dès trois ans, doit être retirée du marché selon les chercheurs.

MiSafes

Ken Munro et Alan Monie se sont lancés dans la mise à l’épreuve de la sécurité de l’appareil lorsqu’un de leur proche en a acheté une pour son fils à un prix dérisoire. Rapidement, ils ont réussi à utiliser un logiciel pour communiquer avec l’appareil. En outre, en communiquant avec la montre, ils ont pu récupérer toutes les informations sur l’enfant la possédant — une photo, son nom, son genre et sa date de naissance, son poids et sa taille, le numéro de téléphone des parents et le numéro de téléphone assigné à la puce.

Pire : en changeant l’identifiant de la montre avec laquelle ils communiquaient, ils ont pu obtenir ces mêmes renseignements pour d’autres enfants inscrits au programme de MiSafes. L’un des chercheurs a exprimé sa stupéfaction auprès de la télévision publique anglaise : « C’est le hack le plus simple à réaliser que nous n’avons jamais vu, ajoutant, j’aurais aimé que cela soit plus compliqué. Ça ne l’était pas.  »

Pen Test Partners a établi une carte interactive des montres qu’ils ont pu pirater / Pen Test Partners

Un hack si simple que les deux chercheurs ont pu recenser que plus de 14 000 montres étaient utilisées partout sur le globe, notamment en France. Selon eux, chacune d’elle présente les mêmes faiblesses. L’utilisation de cette faille par des individus malintentionnés pourrait avoir des conséquences particulièrement graves. MiSafes avait déjà été épinglé en Norvège où la vente des produits la marque est découragée. Auprès de la BBC, eBay a confirmé avoir retiré de sa boutique toutes les montres connectées de la firme.

En France, la montre n’est plus disponible sur Amazon, sans que l’on sache si c’est par manque de stock ou à la suite d’une décision. L’entreprise californienne n’est pas inconnue des hackers après avoir vu son système de surveillance pour bébé critiqué pour des failles importantes l’an passé. À l’heure actuelle, le vendeur n’a toujours pas résolu ce problème sur cet appareil et ne le mettra probablement jamais à jour.

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux