Contrôle de sécurité de 7 bracelets connectés et de l’Apple Watch en 2016

Les capteurs d’activité présentent encore des risques élevés

Ce test s’est intéressé aux bracelets connectés les plus récents et les plus vendus ainsi qu’à l’Apple Watch. Tous les bracelets fonctionnent avec une application correspondante installée sur un smartphone Android. Ces résultats sont donc rassemblés dans le test pour capteur et application. Pour ce test, le laboratoire met également un rapport de test (en anglais) très détaillé à votre disposition sous forme de PDF.

L’Apple Watch est un cas particulier : certaines méthodes de test pour Android ne peuvent pas être appliquées à l’iOS. Voilà pourquoi l’évaluation de l’Apple Watch est présentée à part à la fin de l’article. Les produits suivants ont été soumis au test :

- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand

- Apple Watch (cf. fin de l’article)

Les experts se sont en particulier intéressés à deux questions :

1. Du point de vue de l’utilisateur privé, les données enregistrées dans le capteur ou l’application sont-elles protégées contre l’espionnage ou l’utilisation par des tiers ?

2. Du point de vue des caisses d’assurance-maladie ou d’autres entreprises, les données du capteur ou de l’application sont-elles protégées contre les manipulations ?

La première question porte sur la possibilité que des attaquants utilisent les données ou les analysent au détriment de l’utilisateur. Il s’agit de données privées qui, à ce titre, doivent être protégées. La seconde question prend en considération les caisses d’assurance-maladie qui récompensent par exemple les assurés lorsqu’ils atteignent un objectif sportif. Si un capteur d’activité ou une application peuvent être manipulés, alors cette vulnérabilité sera forcément exploitée à un moment ou à un autre.

Trois sections de test pour évaluer les risques

Les testeurs ont soumis chaque bracelet connecté à 10 points de contrôle répartis en trois catégories : capteur, application et communication en ligne. Le graphique de l’évaluation des risques montre les points ayant posé problème aux candidats et si les testeurs considèrent que ces points constituent un risque. Les termes d’erreur ou de vulnérabilité ont volontairement été évités car les points testés ne présentent qu’un risque accru ou élevé d’introduction et ne constituent pas explicitement une porte ouverte. Les testeurs n’ont pas non plus tenté de « hacker » un point critique. Ils ont seulement analysé ce qu’un attaquant pourrait faire à cet endroit et les conséquences éventuelles.

Capteur : connexion, authentification, manipulation

Visibilité : Tous les capteurs d’activité utilisent Bluetooth pour se connecter au smartphone. Les testeurs ont d’abord examiné les problèmes classiques. L’invisibilité pour les autres appareils Bluetooth constitue un aspect sécuritaire important. En effet, il est difficile de se connecter à ou de suivre quelque chose qui n’est pas là. L’appairage est le seul moment où les appareils devraient être visibles pendant une durée limitée. Seuls les bracelets de Microsoft et Pebble offrent cette sécurité. Mobile Action prétend aussi le pouvoir, mais reste repérable.

Confidentialité BLE : Le deuxième aspect sécuritaire pour Bluetooth est la fonction de confidentialité BLE disponible depuis la version 5.0 d’Android. Ce faisant, l’appareil génère sans cesse une nouvelle adresse MAC pour la connexion Bluetooth. Il ne communique pas son adresse réelle et ne peut donc pas être pisté. Seul Microsoft Band 2 a recours à cette technologie. Tous les autres ne connaissent pas cette technique.

Connectivité : Il existe plusieurs possibilités techniques pour connecter un appareil. Un appairage Bluetooth exclusif (c’est-à-dire que le capteur ne peut se connecter qu’à un seul smartphone connu) est très sûr, mais il est seulement utilisé par Basis Peak et Microsoft Band 2 lors du test. Pebble Time permet certes de se connecter à plusieurs appareils, mais chaque connexion doit être confirmée manuellement par l’utilisateur ce qui est également une méthode sûre. Xiaomi MiBand choisit une solution simple et sûre à la fois : il devient invisible après s'être apparié et n’accepte pas d’autre connexion. Seuls les bracelets de Striiv, Runtastic et Mobile Action n’utilisent pas de technique fiable pour empêcher des appareils étrangers de se connecter.

Authentification : Si un smartphone étranger arrive à se connecter au capteur d’activité, alors certains produits proposent un autre mécanisme de sécurité : l’authentification. Seuls 3 des 7 produits utilisent ce second seuil de sécurité de manière résolue : Basis Peak, Microsoft Band 2 et Pebble Time. Xiaomi fait certes appel à cette technique, mais l’accès est assez simple à contourner et donc éventuellement inefficace. Les 3 autres produits renoncent à cette sécurité supplémentaire ou ne l’appliquent pas suffisamment.

Protection anti-manipulation : Ce point est aussi intéressant pour les utilisateurs que pour les caisses d’assurance-maladie ou les tribunaux qui se fient à l’authenticité des données. Voilà pourquoi les testeurs ont vérifié s’il existait une protection d’intégrité ou un contrôle d’accès pour les données enregistrées dans le capteur. La protection doit être conçue de manière à empêcher l’accès par des tiers et à exclure la manipulation des données par le propriétaire du smartphone. Seuls les produits de Basis, Microsoft, Pebble et Xiaomi présentent une protection fondamentale dans ce domaine. Cependant, l’appareil de Xiaomi peut aussi être dupé en raison de sa faible authentification. Un étranger peut ainsi faire vibrer le bracelet, modifier l’heure du réveil ou même réinitialiser tous les paramètres d’usine du capteur d’activité.

Les bracelets connectés Striiv et Mobile Action n’utilisent aucune authentification adéquate et fonctionnelle ou d’autres mécanismes de protection ce qui les rend susceptibles d’être manipulés. Dans le cas de Striiv Fusion, les valeurs des mensurations de l’utilisateur pouvaient être modifiées jusqu’à atteindre un niveau surhumain. Ces dernières ont ensuite directement influencé le calcul des distances et des calories brûlées. Lors du test, il était également possible de modifier les informations enregistrées concernant le poids, la taille, la
longueur de pas de l’utilisateur, etc. sur le bracelet connecté de Mobile Action. Ces valeurs étaient alors directement utilisées pour calculer les calories brûlées et la distance parcourue.

Application – protection et contrôle du code

Sauvegarde locale : Même lorsque la technologie d’un capteur est sûre, l’application correspondante sur le smartphone peut constituer son point faible. Voilà pourquoi les testeurs ont vérifié si les applications enregistraient des données sur le smartphone, lesquelles étaient accessibles à d’autres applications. Les fonctions de sécurité des appareils Android non rootés empêchent normalement cet accès. Mais si ces données sont enregistrées au mauvais endroit, alors elles sont accessibles à tous. Seul Xiaomi MiBand commet cette erreur. Il sauvegarde un fichier-journal détaillant toute l’activité de l’application dans un emplacement complètement ouvert. Ce fichier-journal comprend toutes les données transmises ainsi que les informations personnelles, le pseudonyme, les mensurations, etc. et même des informations utilisées pour la procédure d’authentification.

Obfuscation du code : La deuxième vérification concerne la mauvaise programmation des applications. Les testeurs ont vérifié si les applications avaient recours à l’obfuscation (brouillage) du code. Cette technique empêche la rétro-ingénierie et dissimule des informations utiles aux yeux des attaquants. Les applications de Mobile Action, Pebble et Xiaomi utilisent pleinement cette technique. Basic et Runtastic se sont ici fait remarquer de manière négative. Ils n’utilisent pas résolument l’obfuscation ce qui peut rendre service aux attaquants. Les produits de Microsoft et Striiv n’emploient pas du tout l’obfuscation. Les spécialistes peuvent alors analyser l’application.

Informations du fichier-journal ou de débogage : Une autre erreur de programmation concerne la sortie des informations du fichier-journal ou de débogage. Ces émissions d’informations incluent parfois tant de données essentielles que les autres mécanismes de protection deviennent inutiles. Seule l’application de Mobile Action fonctionne correctement. Durant le test, toutes les autres applications ont régulièrement dévoilé des informations qui font le bonheur des attaquants.

Communication en ligne sécurisée

La dernière vérification concerne toutes les connexions établies par l’application. La communication peut-elle être mise sur écoute ou n’est-elle même pas cryptée ? Si tel est le cas, quelles données sont envoyées ? La bonne nouvelle est que toutes les connexions devant être cryptées le sont. Les connexions HTTP ouvertes interceptées n’avaient pas de valeur et n’étaient donc pas chiffrées.

De plus, les testeurs ont vérifié si les contenus d’une connexion sécurisée étaient lisibles après l’installation d’un certificat racine (root certificate). Cet examen est important car, de cette manière, les utilisateurs peuvent manipuler les données transmises. Les produits de Basis et Pebble démontrent qu’il existe aussi une façon sûre de procéder. Ils sont bien armés contre les tentatives d’accès. Pour tous les autres produits, les testeurs ont pu lire les connexions sécurisées et en partie réussir à les manipuler. Ils étaient ainsi en mesure de lire les données d’authentification et de synchronisation.

Bilan : priorité au sport et au fun au détriment de la sécurité

Comme lors du premier test de bracelets connectés de l’année dernière, de nombreux fabricants continuent à faire des erreurs similaires lors du test actuel. Ils n’accordent souvent pas suffisamment d’attention à l’aspect sécuritaire. L’évaluation des risques montre que Pebble Time, Basis Peak et Microsoft Band 2 offrent la meilleure sécurité. Ils font de petites erreurs, mais ces dernières n’offrent au final que peu de possibilités d’attaque ou de manipulation. Suite à ce test, les fabricants vont aussi certainement corriger certains défauts avec une mise à jour du firmware.

Le bracelet connecté de Mobile Action présente déjà plus de risques. Il fait croire à l’utilisateur que sa fonction le rend invisible aux autres – ce qui n’est pas le cas. L’authentification et la protection anti-manipulation manquent également à l’appel. Une porte d’entrée a permis de modifier les données de l’utilisateur durant le test.

Le trio Runtastic, Striiv et Xiaomi cumule le plus de facteurs de risque : 7 à 8 facteurs de risque sur 10 possibles. Ces produits peuvent relativement facilement être suivis, n’utilisent pas d’authentification et de protection anti-manipulation ou alors le font de manière inconséquente, le code des applications n’est pas du tout ou n’est pas suffisamment brouillé et les connexions peuvent être contournées et lues avec des certificats racine. Pour comble de malheur, Xiaomi enregistre les données collectées sur le smartphone sans les protéger. Vous pouvez aussi consulter l’étude de sécurité détaillée associée au test des bracelets connectés dans ce fichier PDF (en anglais) que le laboratoire a préparé pour vous.