De nos jours, il semble que toutes les sociétés ont une montre intelligente. Elles peuvent faire tout et n’importe quoi : suivre votre fréquence cardiaque, passer des appels et même ; donner l’heure. Mais saviez-vous qu’elles peuvent également être utilisées pour savoir ce que vous tapez ?
Voilà quelque chose de nouveau
Les appareils pouvant être portés sur le corps comme les bracelets de fitness et les montres intelligentes ont posé des problèmes de sécurité depuis leurs origines. Cela est principalement dû au fait que les données qu’elles collectent et transfèrent sur le cloud peuvent tomber entre de mauvaises mains ou être vendues au plus offrant.
Les fabricants de bracelets de fitness font de leur mieux pour convaincre leurs utilisateurs que leurs données sont sûres, mais en parallèle, ils vendent des bracelets intelligents à des sociétés de façon massive. Les entreprises utilisent par exemple ces objets portables pour réaliser un suivi de la santé de leurs employés ; ce n’est vraiment pas ainsi que les données privées devraient être traitées. Il se trouve que ce problème n’est probablement pas le pire parmi ceux que présentent les bracelets de fitness et les montres intelligentes.
Your fitness is their business. Nothing personal – https://t.co/82w3NuTWxl via @kaspersky #security
— Kaspersky (@kaspersky) October 30, 2014
Quand Roman Unuchek de Kaspersky Lab a découvert qu’il pouvait connecter un smartphone à presque tous les appareils de fitness qui étaient déjà connectés à un autre appareil, il a conclu sa recherche sur une note relativement positive :
En piratant le bracelet que je possède, l’escroc ne peut pas accéder aux données d’utilisateurs, car celles-ci ne sont pas stockées dans le bracelet ou le téléphone ; l’application officielle transfère régulièrement les informations du bracelet au cloud.
Kaspersky Lab Expert: How I Hacked my Smart Bracelet http://t.co/0DNsNeLKRP via @Securelist #wearables #security pic.twitter.com/DCcZHtFqPO
— Kaspersky (@kaspersky) March 26, 2015
Par après, Tony Beltramelli, un étudiant de l’université informatique de Copenhague, a démontré que le pirate n’avait pas besoin de ces données pour attaquer le propriétaire de l’appareil portable. Dans son projet de thèse de master, il a démontré qu’après avoir obtenu accès à une montre intelligente, il était possible de suivre les gestes du propriétaire et de les inverser pour déterminer quels symboles il avait tapés sur un pavé numérique.
En fait, le chercheur compte sur le fait que chaque utilisateur a sa propre manière unique de taper. Des chercheurs ont déjà suggéré que cela peut être utilisé pour améliorer la sécurité : pour accéder à quelque chose dont vous avez besoin, il ne suffit pas de taper le mot de passe, mais il faut le faire d’une certaine manière, avec le modèle de frappe auquel le propriétaire de l’appareil est habitué.
Lors de son expérience, Beltramelli a utilisé une montre intelligente avec Android, la Smartwatch 2 de Sony, et un code avec des capacités d’intelligence artificielle. Son logiciel connaissait son style de frappe unique et grâce aux données des capteurs de mouvement intégrés dans la montre intelligente, il a été capable de convertir ces données en chiffres réellement tapés avec une justesse de plus de 60 %.
Ok. Donc, quelqu’un peut utiliser une montre intelligente piratée pour savoir ce que nous écrivons sur un pavé numérique. Et alors ?
Techniquement… Cela pourrait causer beaucoup de problèmes.
Le pavé numérique peut être celui où vous tapez un code PIN ou celui d’un distributeur automatique, ou encore le lecteur de cartes d’un magasin. À présent, votre adversaire connaîtrait le code PIN de votre carte de crédit. Le pavé numérique pourrait aussi être l’écran de verrouillage de votre téléphone ; une fois que la personne aura mis la main sur votre téléphone, elle pourra facilement avoir accès à toutes vos informations, y compris vos contacts, vos messages, vos données de compte bancaire, etc., et tout cela parce qu’elle connaitra votre code PIN.
#Google Patches Latest #Android Lockscreen Bypass via @threatpost https://t.co/XqLsWIWRXd #mobile pic.twitter.com/7ioP8J3Rdz
— Kaspersky (@kaspersky) September 16, 2015
De plus, si quelqu’un peut obtenir que le logiciel reconnaisse les chiffres sur le pavé numérique, il peut probablement l’améliorer pour qu’il puisse également distinguer les lettres sur un clavier d’ordinateur. Si cela arrive, l’adversaire pourra être capable de savoir tout ce que vous tapez, ce qui rendra compromettra la sécurité de toute votre correspondance. Bon, comme vous n’avez qu’une seule montre intelligente, seule l’une de vos mains peut être suivie, mais la moitié des lettres que vous tapez peut être suffisante pour comprendre ce que vous écriviez exactement.
Nous n’avons pas de preuves que de telles menaces soient déjà dans la nature, mais croyez-nous, vous ne voulez pas tomber sur l’une d’entre elles si elles existent vraiment ; dans ce cas, il n’y a qu’une seule manière de vous protéger. Vous devez vous assurer qu’il n’y a pas de maliciel installé sur votre montre.
Kaspersky Lab, @WISeKey partner to increase #security for connected wearables #IoT #infosec https://t.co/ECsrrkS1pA pic.twitter.com/KsMRplc0GV
— Kaspersky (@kaspersky) January 14, 2016
Il y a deux choses que vous pouvez faire pour améliorer la sécurité de votre appareil portable.
- Tout d’abord, téléchargez uniquement vos applications de magasins officiels comme l’App Store d’Apple, Google Play ou l’Appstore d’Amazon. Les applications de ces marchés ne sont pas 100 % sécurisées, mais elles sont au moins vérifiées par les représentants de ces magasins, et il existe un système de filtration : n’importe quelle application ne peut pas s’y retrouver.
Allegedly 40 apps on App Store are infected https://t.co/UTSGwvWccj #apple pic.twitter.com/moLosQwB9V
— Kaspersky (@kaspersky) September 23, 2015
- Utilisez une solution de sécurité appropriée. Étant donné que toutes les applications qui arrivent sur votre montre sont d’abord téléchargées sur votre téléphone, elles sont vérifiées automatiquement si vous avez installé Kaspersky Internet Security pour Android