Deuxième essai : choqué par le test de sécurité d’AV-TEST, FitBit sécurise maintenant son bracelet connecté.
Il y a quelques mois, 9 bracelets connectés et leurs concepts de sécurité ont été examinés au sein des laboratoires d’AV-TEST. L’un des plus mauvais résultats enregistrés était celui du bracelet FitBit Charge. Il se connectait sans hésiter avec chaque smartphone disponible et lui révélait ses données. Suite à une collaboration intensive avec AV-TEST, FitBit présente maintenant des mesures de sécurité revisitées pour ses produits.
Lorsque les responsables de FitBit ont lu les conclusions du test de sécurité concernant les bracelets connectés il y a quelques mois, ils ont tiré la sonnette d’alarme en interne. En effet, le test démontrait que chaque bracelet FitBit de la série Charge s’appariait avec tout smartphone volontaire sans autre forme de procès. Une fois apparié, le bracelet lui révélait d’emblée toutes les données de fitness enregistrées.
Rappel du test
Durant le dernier test de 9 bracelets connectés, les concepts de sécurité ont été passés au banc d’essai. Les testeurs ont vérifié si les capteurs d’activité pouvaient être manipulés. Pour cela, le capteur et les applications correspondantes ont été examinés puis leur communication a été observée. Mais aucun dispositif de verrouillage n’a été forcé !
Les résultats étaient mitigés : tandis que le produit FitBit a obtenu la mauvaise note de 7/9 en termes de risque (plus elle est élevée, plus le risque est important), le bracelet Smartband Talk de Sony a atteint l’excellente note de 1/9.
FitBit : désormais vraiment sûr
Le présent rapport Analyse des vulnérabilités de FitBit par AV-TEST a servi de base à la collaboration entre AV-TEST et l´équipe de sécurité de FitBit. L’analyse décrit avec compétence et précision les deux points faibles du concept de sécurité de FitBit. Pour résumer, les points faibles peuvent être décrits ainsi :
1. Chaque smartphone avec une application correspondante – à savoir l’application FitBit – situé à proximité du bracelet FitBit pouvait s’y connecter. Cette connexion permettait d’accéder à toutes les données sauvegardées dans le capteur d’activité et d’en déduire un profil.
2. À l’aide d’une application, chaque smartphone connecté pouvait envoyer des données manipulées au capteur d’activité ou bien en modifier les alarmes. L’utilisateur perd alors le contrôle de ses données de fitness.
Suite au test, l’équipe de sécurité de FitBit a contacté AV-TEST et décidé de retravailler complètement son concept de sécurité. Durant le développement et à la fin, le produit FitBit a été entièrement retesté avec son nouveau firmware. Cette fois-ci, le test s’est révélé très satisfaisant. Depuis, FitBit a déployé le nouveau firmware 110 sur tous les appareils du marché et a donc ainsi aussi sécurisé ultérieurement ses anciens appareils.