La sécurité des traqueurs d’activité et des montres connectées, à l’exception de l’Apple Watch, est sérieusement remise en question par une étude canadienne. Menée par Open Effect, une organisation de défense des données personnelles, et Citizen Lab de l’université de Toronto, cette enquête met en lumière les faiblesses en termes de sécurisation des informations de localisation d’une sélection de bracelets parmi les plus populaires du marché.
Les Peak (Basis), Charge HR (Fitbit), Vivosmart (Garmin), UP 2 (Jawbone), Fuse (Mio), Pulse O2 (Withings) et Mi Band (Xiaomi) émettent en continu un signal Bluetooth qu’il est possible de traquer si l’appareil n’est pas connecté activement ou appairé avec un smartphone. Les chercheurs n’ont pas repéré de faille de cette nature sur l’Apple Watch.
Les données transmises par les traqueurs fautifs contiennent un numéro d’identifiant unique. Il est relativement simple, pour un centre commercial ou une agence gouvernementale aux grandes oreilles, de « suivre » à la trace un utilisateur de ce type de produit — encore une fois, si le bracelet n’est pas en connexion avec un smartphone. La montre d’Apple « anonymise » l’identifiant du porteur, ce qui en rend le tracking bien plus compliqué.
Autre vulnérabilité plus grave, les chercheurs ont pu modifier les données enregistrées par deux des bracelets en question, à savoir les modèles de Jawbone et Withings au travers de leurs applications respectives, Connect (iOS et Android) et Health Mate (Android). Sur le UP 2, ils ont ainsi attribué au traqueur un total de 10 milliards de pas pour une seule journée ! C’est potentiellement problématique si le bracelet est utilisé dans un cadre médical ou dans une entreprise.
Les sociétés, aux États-Unis en particulier, équipent leurs employés de ce genre de produits pour calculer le coût des assurances. S’il est possible de bidouiller les données, leur fiabilité peut être remise en doute. « Les consommateurs devraient être mieux informés sur les systèmes et les pratiques de suivi de ces produits fitness », expliquent les auteurs de l’enquête, « afin de les aider à déterminer si oui ou non ils peuvent être rassurés de la manière dont les données sont exploitées ».
Les utilisateurs de la plupart de ces bracelets, conseille l’étude, devraient très sérieusement faire en sorte qu’ils soient connectés en permanence à leurs smartphones compagnon : le Bluetooth doit toujours être activé sur les deux appareils. Sauf en ce qui concerne l’Apple Watch.
Un porte-parole de Fitbit a indiqué que la sécurité liée à la gestion du Bluetooth était un domaine « relativement nouveau » pour lequel le constructeur cherche à améliorer ses pratiques. En revanche, il se défend en expliquant qu’il est « hautement improbable qu’un pirate puisse accéder à un terminal spécifique, savoir à qui il appartient, et d’en suivre les mouvements ». Mio et Basis (ce dernier appartenant à Intel) ont annoncé un renforcement de la sécurité de leurs produits.