Skip navigation

Contrôle de sécurité de 7 bracelets connectés et de l’Apple Watch en 2016

Les bracelets et montres connectés ne sont pas seulement très appréciés des grands sportifs. Les caisses d’assurance-maladie encouragent désormais aussi l’achat d’un capteur d’activité ou récompensent leur utilisation car les personnes en forme coûtent moins à ces entreprises. Les experts d’AV-TEST ont donc examiné le niveau de sécurité de 7 bracelets connectés Android actuels ainsi que de l’Apple Watch. Résultat : certains fabricants continuent à faire de graves erreurs.

Contrôle de sécurité en 2016 : 7 bracelets connectés et l’Apple Watch.

Contrôle de sécurité des bracelets connectés : Cette année aussi, la série de tests a révélé un risque sécuritaire élevé chez certains bracelets connectés. L’Apple Watch n’est pas incluse dans la liste car elle a été évaluée séparément en raison des différences par rapport au test d’Android.

Environnement de test : Les capteurs d’activité ont été connectés au smartphone, les applications des fabricants ont été examinées, les testeurs ont tenté de les duper avec une application de test et les connexions ont été surveillées avec un proxy.

Pebble Time: Ce capteur d’activité a présenté le moins de facteurs de risque lors du test ce qui se traduit par un niveau de sécurité élevé (photo : Pebble).

Microsoft Band 2: Bien que le capteur utilise le système Android, Microsoft sécurise bien son fonctionnement (photo : Microsoft).

Striiv Fusion: En présentant 8 des 10 facteurs de risque, le bracelet connecté ne peut pas être considéré comme sûr (photo : Striiv).

Les montres et bracelets connectés ou capteurs d’activité sont populaires et sont actuellement au moins recommandés par de nombreuses caisses d’assurance-maladie dans le monde entier. En Europe, la législation n’autorise les caisses qu’à subventionner cet accessoire portable. Aux États-Unis, il existe déjà des offres avec des remboursements de primes si la personne assurée peut faire preuve de ses efforts par le biais du capteur d’activité. Ainsi, la start-up new-yorkaise Oscar Health paie 1 dollar par jour à la personne assurée si elle remplit son objectif sportif quotidien.

En découvrant pour la première fois les volumes de vente actuels et anticipés pour les capteurs d’activité, on réagit en général d’abord en se disant « waouh ». D’après l’IDC, 26 millions d’objets technologiques portables ont déjà été vendus en 2014, plus de 75 millions en 2015 et ce chiffre devrait dépasser les 100 millions en 2016.

Les capteurs d’activité présentent encore des risques élevés

Ce test s’est intéressé aux bracelets connectés les plus récents et les plus vendus ainsi qu’à l’Apple Watch. Tous les bracelets fonctionnent avec une application correspondante installée sur un smartphone Android. Ces résultats sont donc rassemblés dans le test pour capteur et application. Pour ce test, le laboratoire met également un rapport de test (en anglais) très détaillé à votre disposition sous forme de PDF.

L’Apple Watch est un cas particulier : certaines méthodes de test pour Android ne peuvent pas être appliquées à l’iOS. Voilà pourquoi l’évaluation de l’Apple Watch est présentée à part à la fin de l’article. Les produits suivants ont été soumis au test :

- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand

- Apple Watch (cf. fin de l’article)

Les experts se sont en particulier intéressés à deux questions :

1. Du point de vue de l’utilisateur privé, les données enregistrées dans le capteur ou l’application sont-elles protégées contre l’espionnage ou l’utilisation par des tiers ?

2. Du point de vue des caisses d’assurance-maladie ou d’autres entreprises, les données du capteur ou de l’application sont-elles protégées contre les manipulations ?

La première question porte sur la possibilité que des attaquants utilisent les données ou les analysent au détriment de l’utilisateur. Il s’agit de données privées qui, à ce titre, doivent être protégées. La seconde question prend en considération les caisses d’assurance-maladie qui récompensent par exemple les assurés lorsqu’ils atteignent un objectif sportif. Si un capteur d’activité ou une application peuvent être manipulés, alors cette vulnérabilité sera forcément exploitée à un moment ou à un autre.

Trois sections de test pour évaluer les risques

Les testeurs ont soumis chaque bracelet connecté à 10 points de contrôle répartis en trois catégories : capteur, application et communication en ligne. Le graphique de l’évaluation des risques montre les points ayant posé problème aux candidats et si les testeurs considèrent que ces points constituent un risque. Les termes d’erreur ou de vulnérabilité ont volontairement été évités car les points testés ne présentent qu’un risque accru ou élevé d’introduction et ne constituent pas explicitement une porte ouverte. Les testeurs n’ont pas non plus tenté de « hacker » un point critique. Ils ont seulement analysé ce qu’un attaquant pourrait faire à cet endroit et les conséquences éventuelles.

Capteur : connexion, authentification, manipulation

Visibilité : Tous les capteurs d’activité utilisent Bluetooth pour se connecter au smartphone. Les testeurs ont d’abord examiné les problèmes classiques. L’invisibilité pour les autres appareils Bluetooth constitue un aspect sécuritaire important. En effet, il est difficile de se connecter à ou de suivre quelque chose qui n’est pas là. L’appairage est le seul moment où les appareils devraient être visibles pendant une durée limitée. Seuls les bracelets de Microsoft et Pebble offrent cette sécurité. Mobile Action prétend aussi le pouvoir, mais reste repérable.

Confidentialité BLE : Le deuxième aspect sécuritaire pour Bluetooth est la fonction de confidentialité BLE disponible depuis la version 5.0 d’Android. Ce faisant, l’appareil génère sans cesse une nouvelle adresse MAC pour la connexion Bluetooth. Il ne communique pas son adresse réelle et ne peut donc pas être pisté. Seul Microsoft Band 2 a recours à cette technologie. Tous les autres ne connaissent pas cette technique.

Connectivité : Il existe plusieurs possibilités techniques pour connecter un appareil. Un appairage Bluetooth exclusif (c’est-à-dire que le capteur ne peut se connecter qu’à un seul smartphone connu) est très sûr, mais il est seulement utilisé par Basis Peak et Microsoft Band 2 lors du test. Pebble Time permet certes de se connecter à plusieurs appareils, mais chaque connexion doit être confirmée manuellement par l’utilisateur ce qui est également une méthode sûre. Xiaomi MiBand choisit une solution simple et sûre à la fois : il devient invisible après s'être apparié et n’accepte pas d’autre connexion. Seuls les bracelets de Striiv, Runtastic et Mobile Action n’utilisent pas de technique fiable pour empêcher des appareils étrangers de se connecter.

Authentification : Si un smartphone étranger arrive à se connecter au capteur d’activité, alors certains produits proposent un autre mécanisme de sécurité : l’authentification. Seuls 3 des 7 produits utilisent ce second seuil de sécurité de manière résolue : Basis Peak, Microsoft Band 2 et Pebble Time. Xiaomi fait certes appel à cette technique, mais l’accès est assez simple à contourner et donc éventuellement inefficace. Les 3 autres produits renoncent à cette sécurité supplémentaire ou ne l’appliquent pas suffisamment.

Protection anti-manipulation : Ce point est aussi intéressant pour les utilisateurs que pour les caisses d’assurance-maladie ou les tribunaux qui se fient à l’authenticité des données. Voilà pourquoi les testeurs ont vérifié s’il existait une protection d’intégrité ou un contrôle d’accès pour les données enregistrées dans le capteur. La protection doit être conçue de manière à empêcher l’accès par des tiers et à exclure la manipulation des données par le propriétaire du smartphone. Seuls les produits de Basis, Microsoft, Pebble et Xiaomi présentent une protection fondamentale dans ce domaine. Cependant, l’appareil de Xiaomi peut aussi être dupé en raison de sa faible authentification. Un étranger peut ainsi faire vibrer le bracelet, modifier l’heure du réveil ou même réinitialiser tous les paramètres d’usine du capteur d’activité.

Les bracelets connectés Striiv et Mobile Action n’utilisent aucune authentification adéquate et fonctionnelle ou d’autres mécanismes de protection ce qui les rend susceptibles d’être manipulés. Dans le cas de Striiv Fusion, les valeurs des mensurations de l’utilisateur pouvaient être modifiées jusqu’à atteindre un niveau surhumain. Ces dernières ont ensuite directement influencé le calcul des distances et des calories brûlées. Lors du test, il était également possible de modifier les informations enregistrées concernant le poids, la taille, la
longueur de pas de l’utilisateur, etc. sur le bracelet connecté de Mobile Action. Ces valeurs étaient alors directement utilisées pour calculer les calories brûlées et la distance parcourue.

Application – protection et contrôle du code

Sauvegarde locale : Même lorsque la technologie d’un capteur est sûre, l’application correspondante sur le smartphone peut constituer son point faible. Voilà pourquoi les testeurs ont vérifié si les applications enregistraient des données sur le smartphone, lesquelles étaient accessibles à d’autres applications. Les fonctions de sécurité des appareils Android non rootés empêchent normalement cet accès. Mais si ces données sont enregistrées au mauvais endroit, alors elles sont accessibles à tous. Seul Xiaomi MiBand commet cette erreur. Il sauvegarde un fichier-journal détaillant toute l’activité de l’application dans un emplacement complètement ouvert. Ce fichier-journal comprend toutes les données transmises ainsi que les informations personnelles, le pseudonyme, les mensurations, etc. et même des informations utilisées pour la procédure d’authentification.

Obfuscation du code : La deuxième vérification concerne la mauvaise programmation des applications. Les testeurs ont vérifié si les applications avaient recours à l’obfuscation (brouillage) du code. Cette technique empêche la rétro-ingénierie et dissimule des informations utiles aux yeux des attaquants. Les applications de Mobile Action, Pebble et Xiaomi utilisent pleinement cette technique. Basic et Runtastic se sont ici fait remarquer de manière négative. Ils n’utilisent pas résolument l’obfuscation ce qui peut rendre service aux attaquants. Les produits de Microsoft et Striiv n’emploient pas du tout l’obfuscation. Les spécialistes peuvent alors analyser l’application.

Informations du fichier-journal ou de débogage : Une autre erreur de programmation concerne la sortie des informations du fichier-journal ou de débogage. Ces émissions d’informations incluent parfois tant de données essentielles que les autres mécanismes de protection deviennent inutiles. Seule l’application de Mobile Action fonctionne correctement. Durant le test, toutes les autres applications ont régulièrement dévoilé des informations qui font le bonheur des attaquants.

Communication en ligne sécurisée

La dernière vérification concerne toutes les connexions établies par l’application. La communication peut-elle être mise sur écoute ou n’est-elle même pas cryptée ? Si tel est le cas, quelles données sont envoyées ? La bonne nouvelle est que toutes les connexions devant être cryptées le sont. Les connexions HTTP ouvertes interceptées n’avaient pas de valeur et n’étaient donc pas chiffrées.

De plus, les testeurs ont vérifié si les contenus d’une connexion sécurisée étaient lisibles après l’installation d’un certificat racine (root certificate). Cet examen est important car, de cette manière, les utilisateurs peuvent manipuler les données transmises. Les produits de Basis et Pebble démontrent qu’il existe aussi une façon sûre de procéder. Ils sont bien armés contre les tentatives d’accès. Pour tous les autres produits, les testeurs ont pu lire les connexions sécurisées et en partie réussir à les manipuler. Ils étaient ainsi en mesure de lire les données d’authentification et de synchronisation.

Bilan : priorité au sport et au fun au détriment de la sécurité

Comme lors du premier test de bracelets connectés de l’année dernière, de nombreux fabricants continuent à faire des erreurs similaires lors du test actuel. Ils n’accordent souvent pas suffisamment d’attention à l’aspect sécuritaire. L’évaluation des risques montre que Pebble Time, Basis Peak et Microsoft Band 2 offrent la meilleure sécurité. Ils font de petites erreurs, mais ces dernières n’offrent au final que peu de possibilités d’attaque ou de manipulation. Suite à ce test, les fabricants vont aussi certainement corriger certains défauts avec une mise à jour du firmware.

Le bracelet connecté de Mobile Action présente déjà plus de risques. Il fait croire à l’utilisateur que sa fonction le rend invisible aux autres – ce qui n’est pas le cas. L’authentification et la protection anti-manipulation manquent également à l’appel. Une porte d’entrée a permis de modifier les données de l’utilisateur durant le test.

Le trio Runtastic, Striiv et Xiaomi cumule le plus de facteurs de risque : 7 à 8 facteurs de risque sur 10 possibles. Ces produits peuvent relativement facilement être suivis, n’utilisent pas d’authentification et de protection anti-manipulation ou alors le font de manière inconséquente, le code des applications n’est pas du tout ou n’est pas suffisamment brouillé et les connexions peuvent être contournées et lues avec des certificats racine. Pour comble de malheur, Xiaomi enregistre les données collectées sur le smartphone sans les protéger. Vous pouvez aussi consulter l’étude de sécurité détaillée associée au test des bracelets connectés dans ce fichier PDF (en anglais) que le laboratoire a préparé pour vous.

Contrôle de sécurité de l’Apple Watch

L’Apple Watch comme
capteur d’activité (photo : Apple).

Associée à un iPhone, l’Apple Watch sert également de capteur d’activité. Mais gère-t-elle aussi les données de manière sûre ou bien peuvent-elles être consultées par des tiers ?

Dans les grandes lignes, le test de l’Apple Watch est conçu comme le test des appareils Android. iOS et Android présentent cependant parfois de si grandes différences que certains facteurs de risque n’ont pas pu être testés tandis que d’autres n’étaient pas pertinents pour l’appareil Apple. Le laboratoire a donc seulement examiné les points visibilité contrôlée, confidentialité BLE et connectivité contrôlée pour le capteur d’activité. En ce qui concerne la communication en ligne, les testeurs ont vérifié si les connexions étaient cryptées et si les résultats pouvaient être manipulés avec des certificats racine.

L’utilisateur peut contrôler la visibilité via Bluetooth. La montre ne peut donc pas toujours être suivie. Le test de la confidentialité BLE s’est révélé intéressant. Ce faisant, l’Apple Watch devait afficher une nouvelle adresse MAC après chaque nouvelle activation du Bluetooth. Cela la rend presque intraçable. Elle y est aussi parvenue à chaque fois lors du test. Cependant, l’Apple Watch a toujours affiché la véritable adresse MAC au composant Bluetooth après que le mode avion ait été allumé et éteint. Cela ne devrait pas être le cas.

Apple a recours à une protection antivol particulière pour la connectivité contrôlée : une fois que la montre a été connectée à un compte, il est très compliqué de l’en séparer. Même une réinitialisation des paramètres d’usine ne le permet pas. Si un voleur vend par exemple la montre connectée, alors le nouvel utilisateur ne peut pas l’appairer avec son propre iPhone.

Pour les connexions, l’Apple Watch utilise généralement des connexions cryptées qui sont en plus sécurisées. Une mise à jour a cependant par exemple été effectuée sans chiffrement via HTTP.

Les testeurs ont pu lire certaines informations dans les connexions chiffrées, mais sans sécurité supplémentaire. Cela inclut des lignes de texte avec les données géographiques de l’utilisateur dont sa géolocalisation, au numéro de rue près ! Comme pour les appareils Android, un certificat racine a ensuite été installé. De nombreuses connexions sont alors devenues lisibles. De cette manière, l’utilisateur lui-même a meilleur accès aux données et pourrait donc les manipuler.

L’Apple Watch a globalement fait preuve d’une bonne sécurité. Les testeurs ont certes aussi reconnu des cibles théoriques, mais l’attaquant devrait alors fournir de très gros efforts pour accéder à la montre.

Partagez :