Et si la faille de sécurité se trouvait… à votre poignet ? C’est ce qu’ont révélé le 8 juillet 2020 les chercheurs de la firme de sécurité britannique Pen Test Partners, qui depuis plusieurs années opère des tests de sécurité informatique pour révéler les failles de certains systèmes. Sur leur blog, ils racontent que toutes les montres intelligentes ayant des fonctions de “tracker” (de suivi) présentaient des “failles de sécurité désastreuses”.

Si le marché de la montre connectée reste encore modeste, c’est un secteur qui progresse, Apple en tête. Mais récemment, Pen Test Partners s’est intéressée à une montre intelligente destinée aux personnes âgées, notamment celles sujettes à la démence ou la maladie d’Alzheimer : cette montre peut leur envoyer des rappels pour prendre leurs médicaments. Les soignants peuvent également les suivre via une application mobile avec leur géolocalisation.

Sauf que la montre en question était facilement hackable : avec les failles de sécurité présentes, les porteurs de la montre pouvaient être suivis et interceptés par la géolocalisation, recevoir un faux message d’un parent, accéder à la caméra de l’appareil… Encore pire : une personne mal intentionnée pourrait facilement déclencher l’alarme de prise de médicaments autant de fois qu’elle le souhaiterait, pouvant entraîner une overdose médicamenteuse pour les patients.

Pen Test Partners n’en est pas à son coup d’essai : l’entreprise de sécurité informatique avait déjà pointé fin 2019 les failles de sécurité de montres connectées destinées aux enfants, équipées de systèmes de géolocalisation. Cette faille exposait les données de géolocalisation mais également des données sensibles stockées dans le cloud de l’appareil, comme des messages vocaux. Selon la firme britannique, plus de 47 millions de montres connectées auraient été touchées.

Hacker pour mieux protéger ?

En testant la sécurité de ces montres connectées et en exposant le résultat de leurs failles publiquement, Pen Test Partners souhaite montrer et alerter les fabricants d’objets connectés. Leurs “hacks” ne sont pas vains : ils alertent systématiquement les fabricants ou programmeurs des objets ou systèmes qu’ils infiltrent pour leur proposer leur expertise en matière de sécurité informatique.

Hacker pour mieux protéger ? C’est le parti pris de certaines entreprises de cybersécurité comme Pen Test Partners. Cette technique est celle du “bug bounty” (ou chasseur de bugs en français), bien connue en cybersécurité. Elle consiste à faire appel à des hackers pour que ceux-ci trouvent les failles présentes dans certains systèmes informatiques,les reportent, et sont récompensés. De grandes entreprises de la Silicon Valley comme Apple ou Facebook font appel à des hackers, les récompensant jusqu’à 200 000 dollars en échange des vulnérabilités repérées. En 2016, près de 3 millions de dollars ont été reversés à ces hackers par des entreprises.