Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
©FRED TANNEAU / AFP

La Minute Tech

Les montres connectées pour enfants sont de véritables passoires en matière de sécurité (et ça fait des années que ça dure)

Des chercheurs ont mis en avant les manquements des marques de montres connectées destinées aux enfants. Ils sont parvenus à envoyer aux parents de faux messages et de fausses coordonnées GPS.

Atlantico : Des chercheurs de l'université de Münster, en Allemagne, ont montré que les montres connectées pour enfants (qui servent aux parents à communiquer avec leurs enfants et à les surveiller) peuvent être hackées : les pirates ont ainsi accès aux coordonnées GPS des enfants, peuvent leur envoyer des messages, etc. Que nous apprend cette étude ?

Morgan Bourven : Dans l'absolu, cette étude publiée fin août ne nous apprend pas grand chose. Cela fait en effet plusieurs années que les chercheurs en cybersécurité alertent sur ces produits. En 2017, le Conseil norvégien des consommateurs (l'équivalent de l'UFC Que choisir chez nous) avait déjà mis en avant des failles de sécurité dans plusieurs marques de montres connectées destinées aux plus jeunes. Nos homologues avaient montré qu'en quelques étapes simples, un pirate pouvait prendre le contrôle de la montre et la pister, écouter ce qu'elle captait, voire communiquer avec l'enfant. Plus inquiétant, il était possible de suivre l'enfant pendant qu'il se déplaçait et d'envoyer aux parents de fausses données de localisation. Les marques incriminées avaient annoncé avoir corrigé ces failles, mais l'étude des chercheurs de l'université de Münster montre que ces problèmes existent encore chez d'autres marques.

Ils ont en effet découvert que bon nombre de montres ne disposent d'aucun cryptage ou système d'authentification dans leurs communications avec le serveur qui relaie les informations vers et depuis l'application smartphone des parents. Il leur a donc suffit d'usurper le code IMEI de l'appareil (son identifiant unique, comme celui des téléphones) pour pirater les communications. Comme les Norvégiens en 2017, ils ont réussi à indiquer de fausses coordonnées GPS, intercepter et envoyer des messages audio ou textuels, lancer l'enregistrement audio de l'environnement de la montre, etc. Ils ont aussi trouvé une faille de sécurité commune aux différentes marques qui aurait pu leur donner accès aux données des utilisateurs de ces produits - bien que pour des raisons légales et éthiques, l'équipe assure ne pas avoir tenté de récupérer ces données.

Pourquoi ces montres sont-elles si peu fiables ?

Les chercheurs ont analysé des modèles de différentes marques : JBC, Polywell, Starlian, Pingonaut, ANIO et Xplora. Mais en décortiquant les appareils, ils ont constaté que quatre d'entre elles (JBC, Polywell, ANIO et Starlian) sont en fait des variantes d'un modèle unique vendu en marque blanche, développé par une société chinoise basée à Shenzhen. Dans ce cas de figure, il suffit qu'un problème touche le modèle initial et plusieurs marques sont touchées. On le voit d'ailleurs dans d'autres secteurs, où les mêmes produits sont vendus sous une multitude de marques différentes : si l'un n'est pas fiable, les autres ne le seront pas non plus.

En décembre 2019, une fuite de données avait touché plus de 47 millions de montres connectées de plus de 360 marques de montres connectées différentes. Une fuite gigantesque que l'on pouvait imputer à quelques prestataires uniquement, qui n'avaient pas suffisamment sécurisé leurs bases de données. Puisque toutes les marques de montres partagent la même architecture et les mêmes prestataires, si l'un tombe, il emporte avec lui ses clients. Et dans un marché ultraconcurrentiel, la sécurité est souvent la dernière roue du carrosse.

Quelles sont les recommandations des associations de consommateurs sur ce sujet ?

Ces failles de sécurité sont proprement inacceptables, car ces montres sont vendues comme un moyen de protéger les enfants – alors qu'elles peuvent les mettre en danger. Lorsqu'on parle de sécurité des objets connectés chez les adultes, le risque est surtout lié au respect de la vie privée ; pour les montres connectées destinées aux enfants le danger peut être bien plus grand. Face aux manquements souvent repérés de ces marques, il est donc recommandé d'en éviter l'achat. Les marques dénoncées par les chercheurs allemands assurent en effet avoir corrigé les failles... comme l'avaient fait en 2017 celles mises en avant par nos confrères norvégiens. Mais qu'en est-il de toutes les autres montres ? Malheureusement, il est impossible de toutes les tester...

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !