Il y a plusieurs semaines, une faille de sécurité exposait les données des montres connectées de 5 000 enfants, notamment leurs données de localisation. Aujourd’hui, une faille similaire a été découverte mais sur une montre différente, toujours destinée aux plus jeunes, et ce sont cette fois des millions de données qui sont concernées.

Les données GPS bien souvent concernées sur les montres connectées

De plus en plus de parents font le choix d’offrir à leurs enfants une montre connectée, avec une fonctionnalité GPS qui leur permet notamment de suivre les déplacements et les lieux que fréquentent leurs enfants. Si cela peut être pour certains une mesure de sécurité, cela peut avoir l’effet inverse : les cas de fuite de données GPS des montres sont nombreux. Ces objets seraient en effet très vulnérables, selon des chercheurs qui affirment même que toutes les montres de ce genre hébergent une importante faille dans une plateforme de cloud partagée. Cette dernière serait exploitée par Thinkrace, qui n’est autre qu’un des plus importants des fabricants d’appareils de localisation. celui-ci vend d’ailleurs ses propres montres permettant de traquer les enfants, et leurs parents disposent d’une application qui permet de garder un oeil sur les bambins. Cela fonctionne à la fois pour les montres commercialisées par la marque mais aussi celles qu’elle propose à la vente à d’autres marques qui collent ensuite leur image sur l’objet. Toutes utilisent la même plateforme de Cloud et c’est là une preuve que tous les appareils, même en marque blanche, sont vulnérables.

Selon Pen Test Partners, 47 millions de montres connectées seraient touchées, et celles-ci seraient nombreuses à ne pas dévoiler uniquement des données liées à la localisation des jeunes personnes. Des enregistrements vocaux sont également accessibles à cause de cette faille. Selon les chercheurs en sécurité, il suffirait d’indiquer le numéro de compte de l’enfant pour pouvoir suivre ses déplacements, et accéder à des messages vocaux stockés dans le cloud, de façon non sécurisée. Ces messages seraient disponibles à partir des échanges réalisés grâce à la fonction talkie-walkie.

Les fabricants doivent penser à la divulgation de données

En découvrant ces vulnérabilités, les chercheurs ont informé Thinkrace, mais aussi plusieurs des marques ayant acheté ces produits pour y associer leur marque.

Si certains ont corrigé cette faille de manière efficace, d’autres ont fait des modifications supprimées par la suite. D’autres encore ont simplement ignoré les alertes lancées par les chercheurs. C’est pour cela que Pen Test Partners a pris la décision de rendre publics ses résultats de recherche.

Ken Munro, le fondateur de la société de recherche en cybersécurité, pense que les vulnérabilités exposées n’ont pas été exploitées à mauvais escient, cependant, selon lui, il est important que les fabricants s’améliorent pour construire des systèmes plus sécurisés et que jusque-là, les montres connectées devraient cesser d’être utilisées.

En effet, la protection de la vie privée de l’enfant est un enjeu important. D’une part parce qu’il peut être suivi par des personnes non autorisées par ses responsables légaux, et d’autre part car ses propos peuvent être écoutées à cause de cette faille, or c’est là une atteinte à sa vie privée.