Plusieurs failles de sécurité importantes ont été découvertes sur une montre connectée Coros puis il s'est avéré que tous les modèles du fabricant étaient concernés.
Pas moins de 8 failles de sécurité dans la manière dont les montres Coros et leurs apps iOS/Android gèrent leur connexion Bluetooth ont été trouvées par des chercheurs de la société allemande SySS. Coros en a confirmé l'existence et les implications qui sont assez sérieuses.
En se trouvant dans le périmètre de la connexion Bluetooth de la montre ciblée, il est possible d'accéder au compte Coros de la victime et à ses données ; d'accéder au contenu des notifications envoyées depuis le smartphone vers la montre ; de manipuler les réglages de configuration ; de lancer la remise à zéro de la montre ; de la faire planter ou d'interrompre une activité de course et de provoquer la perte des données qui étaient en cours d'enregistrement.
Les chercheurs ont en fait constaté des lacunes dans l'utilisation des protocoles de sécurité Bluetooth qui ouvrent à un hacker la possibilité de s'intercaler dans la connexion Bluetooth. Les développeurs chez Coros n'ont tout simplement pas utilisé toutes les mesures de sécurité offertes par la norme Bluetooth. Il suffit d'être à proximité de la victime, il n'est pas nécessaire de connaître ses identifiants Coros.
Le fabricant a confirmé ces failles qui lui ont été détaillées en mars dernier. L'étude a porté sur le modèle Pace 3 mais sa couche logicielle pour le Bluetooth est partagée à l'identique sur toutes les autres Coros, à de rares différences près qui ne changent de toute façon rien à l'affaire.
Les chercheurs ont laissé passer 3 mois avant de publier leur découverte, une pratique standard. Dans un premier temps, Coros a déclaré que toutes les failles seraient corrigées avant la fin de l'année. Un délai étonnamment long.
Dans une seconde communication adressée au blog DCRainmaker, Coros a fait son mea-culpa, expliquant qu'il était en réalité prévu de sortir des firmwares bien plus tôt. Certains correctifs vont nécessiter une modification profonde de cette couche logicielle Bluetooth partagée. Les premiers correctifs sont prévus courant juillet et Coros espère boucher le reste des failles avant la fin août.
