Grosses fuites de données pour les traqueurs d’activité, sauf l’Apple Watch

Mickaël Bazoge |

La sécurité des traqueurs d’activité et des montres connectées, à l’exception de l’Apple Watch, est sérieusement remise en question par une étude canadienne. Menée par Open Effect, une organisation de défense des données personnelles, et Citizen Lab de l’université de Toronto, cette enquête met en lumière les faiblesses en termes de sécurisation des informations de localisation d’une sélection de bracelets parmi les plus populaires du marché.

Les Peak (Basis), Charge HR (Fitbit), Vivosmart (Garmin), UP 2 (Jawbone), Fuse (Mio), Pulse O2 (Withings) et Mi Band (Xiaomi) émettent en continu un signal Bluetooth qu’il est possible de traquer si l’appareil n’est pas connecté activement ou appairé avec un smartphone. Les chercheurs n’ont pas repéré de faille de cette nature sur l’Apple Watch.

Les données transmises par les traqueurs fautifs contiennent un numéro d’identifiant unique. Il est relativement simple, pour un centre commercial ou une agence gouvernementale aux grandes oreilles, de « suivre » à la trace un utilisateur de ce type de produit — encore une fois, si le bracelet n’est pas en connexion avec un smartphone. La montre d’Apple « anonymise » l’identifiant du porteur, ce qui en rend le tracking bien plus compliqué.

Autre vulnérabilité plus grave, les chercheurs ont pu modifier les données enregistrées par deux des bracelets en question, à savoir les modèles de Jawbone et Withings au travers de leurs applications respectives, Connect (iOS et Android) et Health Mate (Android). Sur le UP 2, ils ont ainsi attribué au traqueur un total de 10 milliards de pas pour une seule journée ! C’est potentiellement problématique si le bracelet est utilisé dans un cadre médical ou dans une entreprise.

Le Peak de Basis.

Les sociétés, aux États-Unis en particulier, équipent leurs employés de ce genre de produits pour calculer le coût des assurances. S’il est possible de bidouiller les données, leur fiabilité peut être remise en doute. « Les consommateurs devraient être mieux informés sur les systèmes et les pratiques de suivi de ces produits fitness », expliquent les auteurs de l’enquête, « afin de les aider à déterminer si oui ou non ils peuvent être rassurés de la manière dont les données sont exploitées ».

Les utilisateurs de la plupart de ces bracelets, conseille l’étude, devraient très sérieusement faire en sorte qu’ils soient connectés en permanence à leurs smartphones compagnon : le Bluetooth doit toujours être activé sur les deux appareils. Sauf en ce qui concerne l’Apple Watch.

Un porte-parole de Fitbit a indiqué que la sécurité liée à la gestion du Bluetooth était un domaine « relativement nouveau » pour lequel le constructeur cherche à améliorer ses pratiques. En revanche, il se défend en expliquant qu’il est « hautement improbable qu’un pirate puisse accéder à un terminal spécifique, savoir à qui il appartient, et d’en suivre les mouvements ». Mio et Basis (ce dernier appartenant à Intel) ont annoncé un renforcement de la sécurité de leurs produits.

Source
Tags
avatar Oracle | 

On ne dira plus un traqueur, mais un traqué

avatar Darcel | 

Mouhahah (pardon)

Oui je suis inspiré le lundi matin.

avatar ovea | 

Chiffrement homomorphe, où est tu ?

avatar ecosmeri | 

Sérieux on s'en fou! Si ca les interesse de savoir quand je vais chier, quand je baise, ou quand je marche.

avatar earnest | 

@ecosmeri :
Et dans un monde où ta mutuelle ou ta banque connaîtra tes problèmes cardiaques tu pourras voir tes cotisations augmenter et ton credit refusé. Certes tu es peut être en bonne santé maintenant mais plus tard ?

avatar loupsolitaire97 | 

Ben ça me semblais pourtant évident...

avatar k43l | 

Je cherche encore l'utilité d'un traqueur d'activité. On m'en a offert un. La première semaine je le trainais partout et je le gardais même la nuit... puis je me suis lassé de le charger tout les deux trois jours heureusement, puis maintenant il prend la poussière.

Zéro intérêt de savoir le nombre de pas ou de calories perdu. Si on veut être en forme physique suffit d'aller au sport ou faire du sport point.

avatar DrStrange | 

@Moumou92 :
Et le Miband de Xiaomi, un mois au mois.
Sans avoir besoin de charger...

avatar iDanny | 

Et les Samsung Gear ? :)

avatar marc_os | 

_« Les sociétés, aux États-Unis en particulier, équipent leurs employés de ce genre de produits pour calculer le coût des assurances »_

QUOI ?????
MAIS CELA MERITERAIT UN ARTICLE EN SOI !!
Et vous balancez ça comme ça en passant, comme si c'était évident depuis des lustres ?
J'hallucine.

avatar marc_os | 

@ Moumou92
Ah ça c'est de la solidarité.
J'espère que quand tu ne seras plus "jeune et en bonne santé" comme tu sembles l'être aujourd'hui, tu feras face à des jeunes cons égoïstes qui te diront ce que tu dis aujourd'hui.

avatar marc_os | 

Y a de la dégradation dans l'air. :/
Nouveau site, mais je constate qu'on ne peut même pas mettre en gras ou en italique un commentaire. De plus ça prône et fait la pub du markdown, mais... faites ce que je dis mais...

CONNEXION UTILISATEUR