Beaucoup de bruits, tweets et articles autours du « hack de la montre Fitbit, le retour » avec, dans le rôle principal, Axelle Apvrille qui avait déjà donné sur le sujet une passionnante conférence lors de la dernière « Hack in Paris ». Cette fois, c’est à l’occasion de HackLU, la manifestation infosec Luxembourgeoise, que la chercheuse Française remet le couvert, et démontre comment utiliser ladite montre sportive pour qu’elle serve de relais à un malware et puisse injecter un code (troyen par exemple) sur l’ordinateur personnel servant à synchroniser les données du bracelet.
Le Register détaille l’attaque, et Bruce Schneier, qui ne s’étonne pourtant pas souvent, lâche un « This is impressive » qui en dit long.
Les chercheurs en sécurité pourraient bien passer pour de dangereux épandeurs de poil à gratter en chantonnant « l’IoT est aussi sécurisé qu’un spectacle du cirque… dans la fosse aux lions. Seulement voilà, les vendeurs ne montrent que le cirque dans son ensemble, et oublient de mentionner la raison pour laquelle le prix de la place est si peu cher ». Dans son édition d’Octobre, Spectrum, la très sérieuse revue de l’IEEE publie un article intitulé « Voiture connectées, des chercheurs prouvent que les automobiles peuvent être tracées ». Jonathan Petit, de Security Innovation, en collaboration avec des Universitaires de Twente (Hollande) et Ulm (Allemagne) s’amuse à fliquer les transmissions sur 5,9 GHz (haut de bande WiFi 5 GHz), lesquelles transmissions ne sont même pas chiffrées, affirme l’auteur de l’article. Une aubaine pour les collecteurs de données et amoureux du big data appliqué à l’automobiliste.
Plus exactement,Jonathan Petit s’est penché sur les dialogues des protocoles V2V et V2I, dont le rôle est de prévenir le conducteurs des risques immédiats : feux passant au rouge ou panneau stop, véhicule arrivant en sens inverse, virage serré, route en travaux, hauteur limitée, ralentissement ou bouchons, passages protégés… ces signaux sont émis soit par d’autres véhicules et donc implique que toutes les automobiles soient équipées d’un système « Vehicule to vehicule » pour être efficace, soit par l’infrastructure routière. Et ces signaux agissant pour le bien commun et n’ayant rien de franchement secret, il n’a pas été jugé utile de les chiffrer jusqu’à présent.
Sauf que ce manquement s’avère relativement indiscret et pourrait être employé à des fins bien moins protectrices par des services de police d’Etat ou privées, des collecteurs de données professionnels et bien entendu les compagnies d’assurance et industriels du secteur automobile. La liberté de collecter, c’est simple comme un sniffer.
L’histoire pourrait bien ne pas s’arrêter là. V2I (voiture à infrastructure) n’en est encore qu’au stade du projet et rares sont les constructeurs, tel General Motors, à avoir annoncé une véritable intégration des composant V2x dans leurs modèles. Mais les « MoU » publiés autour de V2I mentionnent la possibilité d’actionner les feux d’avertissement et les freins d’une automobile en cas de vitesse trop élevée et de proximité d’un feu tricolore passé au rouge. Que le protocole soit chiffré ou non, il y a fort à parier que ce genre de possibilité puisse faire l’effet d’un spoofing aux effets pour le moins percutant.