Un Fitbit utilisé comme vecteur de malware
Le développement exponentiel des objets connectés pose nécessairement des questions de sécurité, d’autant que les fabricants semblent s’être montrés quelque peu laxistes sur le sujet. Une chercheuse en sécurité informatique révèle aujourd’hui qu’elle a réussi à utiliser un bracelet Fitbit comme vecteur de transmission de logiciel malveillant.
On entend régulièrement parler de voiture bardées d’électronique dont des experts arrivent à prendre le contrôle, à distance, montrant par là leur vulnérabilité du point de vue de la sécurité. Mais les voitures ne sont pas les seules à souffrir ce ces écueils. Les objets connectés portatifs pourraient ainsi être une option de choix pour inoculer un logiciel malveillant à d’autres objets connectés ou à des ordinateurs.
Une chercheuse en sécurité de chez Fortinet, Axelle Apvrille, révèle qu’il est possible de pirater un bracelet Fitbit en 10 secondes, en lui injectant un logiciel malveillant que lui même transmettra ensuite. Il suffit pour cela qu’un pirate se trouve dans le champ de captation Bluetooth d’un bracelet Fitbit, et 10 secondes suffisent donc pour télécharger le malware sur l’appareil. Autant dire qu’entre deux stations de métro, une rame entière peut voir ses bracelets piraté. Ensuite, dès que l’utilisateur connecte son bracelet à son ordinateur, voici ce dernier infecté. Le logiciel peut faire crasher l’ordinateur, et infecter d’autres bracelets Fitbit qui seraient connectés à l’ordinateur.
Apvrille explique avoir signalé le problème à Fitbit en mars dernier, mais l’entreprise ne semble pas considérer l’affaire comme urgente. Elle considérerait plutôt cette faille comme un bug, qui devra être corrigé lors d’une future mise à jour. Force est de constater que la sécurité n’est pas encore une priorité pour les fabricants d’objets connectés, qui feraient bien de revoir l’ordre de leurs priorités. Au risque, sinon, de vivre des lendemains difficiles.
À la suite de cet article, Fitbit nous a fait parvenir sa réponse. La voici :
« Le mercredi 21 Octobre, 2015, des rapports ont commencé à circuler dans les médias sur la base de déclarations du fournisseur de sécurité, Fortinet. Selon ses dires, les dispositifs Fitbit pourraient être utilisés pour diffuser des logiciels malveillants. Ces rapports sont faux. En réalité, le chercheur de Fortinet – Axelle Apvrille – qui à l’origine a fait ces allégations a confirmé à Fitbit qu’il s’agit seulement d’un scénario théorique et que cela n’est pas possible aujourd’hui. Les trackers Fitbit ne peuvent donc pas être utilisés afin d’infecter les appareils des utilisateurs avec des logiciels malveillants. Nous voulons rassurer nos utilisateurs qu’il demeure sûr d’utiliser leurs appareils Fitbit et qu’aucune action n’est nécessaire.
Pour information, Fortinet nous a contacté la première fois en mars 2015 afin de nous signaler un problème de faible gravité sans rapport avec des logiciels malveillants. Depuis ce moment, nous avons maintenu une communication ouverte avec Fortinet. Nous n’avons vu aucune donnée permettant d’indiquer qu’il est possible d’utiliser un tracker afin de distribuer des logiciels malveillants.
Nous bénéficions d’une longue collaboration avec l’ensemble de la communauté des chercheurs en sécurité et nous sommes toujours ouverts à leurs idées et à leurs commentaires. La confiance de nos clients est primordiale. Nous concevons avec beaucoup d’attention les éléments de sécurité de chaque nouveau produit, surveillons de près les nouvelles menaces, et répondons rapidement aux problèmes identifiés. Nous encourageons d’ailleurs les utilisateurs à nous signaler tout problème de sécurité qu’il rencontrerait avec les produits Fitbit ou leurs services en ligne associés à security@fitbit.com. Enfin, des informations complémentaires sur le signalement des questions de sécurité peuvent être consultées en ligne à l’adresse : https://www.fitbit.com/security »