Accueil » Les bracelets FitBit Flex peuvent être piratés pour diffuser un malware
High-Tech

Les bracelets FitBit Flex peuvent être piratés pour diffuser un malware

Une chercheuse française travaillant pour Fortinet a réussi à simuler le protocole de communication du FitBit pour pirater les bracelets à quelques mètres de distance, en Bluetooth, et y injecter du code malicieux qui s’exécute lors de la synchronisation avec l’ordinateur de la victime.

Si vous faites votre jogging et qu’un intrus vient s’asseoir à côté de vous sur le banc d’un parc public, ordinateur portable sur les genoux, méfiez-vous. Il est peut-être en train de pirater votre bracelet Fitbit pour s’en servir ensuite comme cheval de Troie pour accéder à vos données personnelles sur vos ordinateurs.

Ce scénario digne d’un film d’espionnage n’a rien d’une fiction. Comme le rapporte The Register, la chercheuse en sécurité informatique Axelle Aprvrille doit détailler aujourd’hui au Luxembourg lors de la conférence Hack.lu le résultat de ses travaux sur les failles de sécurité des bracelets FitBit Flex, qui permettent de suivre l’activité physique de l’utilisateur.

La réponse est accompagnée du code malicieux

En dix secondes, elle réussit à pirater les bracelets FitBit à partir d’une connexion Bluetooth (sans appairage préalable) pour y injecter du code qui s’exécute ensuite lorsque l’accessoire se connecte à un ordinateur. Ce code peut envoyer discrètement un malware vers un PC.

« Lorsque la victime souhaite synchroniser ses données de fitness avec les serveurs FitBit pour mettre à jour son profil, (…) le tracker de fitness répond à la requête, mais en plus du message standard, la réponse est accompagnée du code malicieux », explique-t-elle.

Pour y parvenir, la hackeuse qui travaille à Nice pour la société Fortinet a réussi à reproduire par reverse-engineering une partie du protocole de communication des bracelets. Elle a ainsi déchiffré 24 types de messages envoyés par le FitBit Flex, et surtout 20 commandes envoyées par le Dongle USB fourni avec le bracelet, qui permet de s’y connecter sans fil en Bluetooth Low Energy à partir d’un PC ou un Mac.

[embedded content]

Par ailleurs, Axelle Axprvrille a réussi à modifier les données collectées localement par le FitBit Flex, pour truquer les résultats envoyés aux serveurs de l’entreprise. Une manipulation qui permet de débloquer plus rapidement des récompenses offertes à ceux qui atteignent certains objectifs (par exemple par son assureur), ou même de modifier des données qui peuvent être produites comme preuves devant la justice.

FitBit a été prévenu dès le mois de mars de ces failles de sécurité, mais n’auraient pas jugé utile de les corriger urgemment.

Articles liés

Lire

GranitePhone : un smartphone Archos dédié à la sécurité
GranitePhone : un smartphone Archos dédié à la sécurité

12 octobre 2015

Lire

Line déploie le chiffrement de bout en bout
Line déploie le chiffrement de bout en bout

13 octobre 2015

Lire

Google ré-impose le chiffrement par défaut avec Android Marshmallow
Google ré-impose le chiffrement par défaut avec Android Marshmallow

hier à 09:46

Please complete the required fields.



A propos de l'auteur

Sébastien

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site est hébergé avec ❤ par

Ikoula

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

6 User(s) Online Join Server
  • Kzerka
  • Horus_Hercule027
  • ganmorQLF
  • SLXW
  • Leon Hartstrife
  • WartraxX (Sébastien T)

✉️ Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 1300 autres abonnés.

2 - Entrer votre adresse email :

Vous affirmez avoir pris connaissance de notre Politique de confidentialité. Vous pouvez vous désinscrire à tout moment à l'aide des liens de désinscription ou en nous contactant via le formulaire de contact

Tester votre débit

Nouveau !

Boutique de Goodies GeekParadize!