Les recherches de TPT (Pen Test Partners) portent préjudice à la marque de montres connectées Gator, mais TechSixtyFour ne baisse pas les bras. La recherche de correctifs va bon train et prochainement ces failles deviendront de l’histoire ancienne.

Des failles béantes

La cybersécurité des smartwatch destinés aux enfants n’a pas eu l’effet escompté selon des experts. La gamme de montres Gator révèle par exemple la localisation en direct de milliers d’enfants. Les parents qui achètent des montres intelligentes à leurs enfants pensaient qu’ils font ce qui est bien. Ces appareils les aident gardez un œil sur la position de leurs enfants sans leur confier un smartphone coûteux, addictif et facilement cassé. Mais les chercheurs en sécurité ont fait une découverte moins reluisante par rapport à ces appareils. Les failles béantes ont été remarquées dans la sécurité d’une gamme populaire de ces montres connectées adaptées aux enfants.

Les pirates informatiques peuvent les exploiter

C’est surtout la firme TechSixtyFour qui est pointée du doigt. La société produit des montres connectées qui sont destinées aux enfants âgés de 5 à 12 ans. En 2017, la gamme d’appareils a été appelée sur les failles de sécurité découvertes par le Conseil norvégien des consommateurs. 12 piratages IoT ont été répertoriés. Les pirates informatiques utilisent une vulnérabilité de routeur pour prendre en charge des milliers d’appareils connectés. Il est maintenant possible pour eux de pirater les caméras des aspirateurs.

Des ventes en baisse

Certains détaillants ont retiré les montres Gator de la vente à la suite des conclusions. Un peu plus d’un an plus tard, des chercheurs de PTP, basé au Royaume-Uni, ont décidé de revoir la gamme de montres Gator et voir quelles améliorations ont été apportées. Les nouvelles pour TechSixtyFour ne sont malheureusement pas bonnes. PTP déclare récemment sur la toile que des failles de sécurité sont encore perceptibles. PTP ajoute que « Tout le monde peut accéder à l’ensemble de la base de données ». Les pirates pourront donc avoir accès à l’emplacement de l’enfant en temps réel, le nom, les informations relatives au parent. Les montres Gator, mais aussi plusieurs autres marques sont aussi concernées. Quiconque ayant des expériences en cybersécurité pourra ainsi avoir accès à des informations personnelles.

Une déception pour PTP

Les montres Gator avaient reçu des critiques positives de la presse technologique en 2017. Cette dernière n’a pas tari d’éloges pour ces appareils. Leur capacité pour aider les parents à rester en contact avec leurs enfants grâce au suivi GPS a été mise en relief. PTP a cependant contacté la société chinoise TechSixtyFour pour l’informer de la faille grave. Les chercheurs ont demandé que les problèmes soient résolus dans un délai d’un mois. PTP rendra par la suite publique sa conclusion sur l’affaire. Selon le blog de PTP, TechSixtyFour a demandé un délai de deux mois pour résoudre le problème, car il était proche du Nouvel An chinois. Les chercheurs ont récemment exprimé leur déception par rapport à la demande de la firme.

PTP valide

Un correctif a ensuite été fait et PTP a validé que le système était sécurisé au 16 janvier. Avant le correctif, PTP déclarait : « Nous avons découvert 20 000 comptes sur le système et 35 000 périphériques concernés. Ce n’est pas bon compte tenu des antécédents erronés en matière de sécurité de TechSixtyFour. Nous aurions pensé qu’un examen approfondi de la sécurité aurait entrepris immédiatement après la publication des conclusions du Conseil norvégien de la consommation l’année dernière ».

Des incidents répandus dans le monde

La faible sécurité de tels dispositifs est malheureusement un problème courant. Pour rappel, un thermostat connecté à donner aux pirates l’accès à la base de données d’un casino. Le jouet d’un enfant étant compromis par des pirates capables d’écouter via son microphone. De tels incidents sont très répandus dans le monde. Selon un rapport publié fin 2017, plus des deux tiers des consommateurs craignent le piratage d’appareils connectés à Internet. Au fur et à mesure que l’Internet des objets se développe, le nombre de cibles potentielles va augmenter. Selon les propos de PTP, les montres GPS chinoises bon marché doivent être testées régulièrement. Cela éviterait beaucoup de désagrément pour les utilisateurs. Le problème est que le prix de ces appareils est si bas que la firme n’a pas le budget nécessaire pour couvrir le coût de la sécurité. PTP conseille aux consommateurs de se procurer des gammes plus fiables. Les chercheurs ajoutent qu’« Ils ne diminuent pas votre risque, ils l’augmentent activement ».

TechSixtyFour réplique

Colleen Wong, fondatrice de TechSixtyFour, a déclaré à GearBrain : « Chez Techsixtyfour, la sécurité de notre produit, My Gator Watch, est d’une importance primordiale. Notre entreprise respecte toutes les normes et les meilleures pratiques du secteur de la sécurité IoT définies par la IoT Security Foundation ». La fondatrice continue que « depuis 2017, nous avons embauché une entreprise londonienne réputée de cybersécurité possédant les qualifications reconnues du secteur des tests de pénétration complets dans le cadre de nos engagements permanents en matière de sécurité, ainsi que des évaluations mensuelles automatisées des vulnérabilités. Nous avons terminé notre plus récent test de stylo sur 30 janvier 2019 ». Une enquête interne sur les journaux n’a pas montré que quiconque avait exploité cette faille à des fins malveillantes. Depuis la déclaration des failles, des équipes travaillent d’arrache-pied pour trouver les correctifs à apporter. Espérons que tout va s’arranger et que la marque Gator ainsi que d’autres pourront prochainement redorer leurs images.