La SMA WATCH-M2, une montre connectée fabriquée en Chine, a séduit de nombreux enfants à travers le monde. Pourtant, des chercheurs de la division de test d’objets connectés d’AV-TEST ont récemment publié un rapport qui fait état des failles de sécurité dans le back-end et dans l’application mobile de la SMA WATCH-M2. Les données personnelles de 5 000 enfants ont été exposées.

Une faille de sécurité dans le back-end et dans l’app mobile

Les montres connectées ont la côte chez les adultes, mais aussi chez les enfants. En Chine, il est rare de croiser un enfant qui n’en porte pas. C’est justement une société chinoise qui est à l’origine de la conception de la SMA WATCH-M2. D’après Maik Morgenstern, PDG et directeur technique d’AV-TEST : « la montre connectée de la société SMA dépasse de loin les problèmes de sécurité d’autres fabricants. Nous avons découvert une faille de sécurité au sein de l’application mobile et dans le back-end de la montre connectée ».

Les chercheurs testent ces montres depuis près de 2 ans et ils sont formels : ce modèle présente un réel danger pour les données personnelles des enfants qui l’utilisent. La SMA WATCH-M2 fonctionne avec une application mobile qui permet aux parents de suivre la géolocalisation de leurs enfants. Ils ont également la possibilité d’interagir avec eux en passant un appel et peuvent même recevoir une notification qui indique que les enfants ont quitté une zone géographie pré-définie. On pourrait quasiment se croire dans un épisode de Black Mirror. Pourtant non, cette montre connecté existe bel et bien dans le monde réel et de nombreux petits européens la possèdent.

SMA WATCH-M2 : la montre connectée la moins sûre

Pour les chercheurs : « cette montre connectée est certainement l’une des moins sûres du marché ». Le problème se trouve dans l’accès à l’application mobile. En effet, n’importe quel développeur peut avoir accès au back-end de la montre connectée grâce à une API Web accessible au public. Grâce à cette API Web, une personne malveillante peut récupérer la totalité des données fournies par la montre. De cette manière, un hacker peut très avoir accès et collecter l’ensemble des informations sur les utilisateurs de la SMA WATCH-M2, dont les données de géolocalisation.

L’accès très facile à l’application mobile aurait également pu permettre aux hackers de changer le mot de passe d’un utilisateur pour verrouiller le compte et donc empêcher le parent d’avoir accès aux données de son enfant. En testant la sécurité de la montre, les chercheurs ont pu identifier 5 000 enfants et 10 000 comptes de parents. On peut voir sur cette carte où se trouvaient les porteurs de la SMA WATCH-M2 au moment où les chercheurs ont testé le système :

Une montre connectée expose les données de 5 000 enfants.

Crédit : AV-TEST