La société de sécurité britannique Pen Test Partners vient de découvrir qu’une vulnérabilité de certaines montres destinées principalement aux personnes souffrant de graves problèmes de mémoire, pouvait permettre à un pirate informatique d’envoyer sur les montres le rappel “prenez vos pilules” aussi souvent qu’il le voulait.
Tribune HackerOne – La principale préoccupation découlait du risque de surdose résultant de cette vulnérabilité. 3G Electronics, la société chinoise commercialisant les montres a été informée de la vulnérabilité et a corrigé la faille.
Cependant, d’après les chercheurs de Pen Test Partners, l’application qui se connecte à ce type de montres compte plus de 10 millions de téléchargements et il est impossible de savoir si elle a été exploitée avant d’être corrigée.
Bill Lummis, Responsable Technique chez HackerOne, leader mondial de la sécurité collaborative, commente cette découverte :
“Les faiblesses en matière de sécurité des dispositifs IoT continuent de faire les gros titres. Il est fortement souhaitable que les fournisseurs d’équipements – notamment liés à la santé revoient leur politique de sécurité pour pouvoir accepter les rapports de vulnérabilités de chercheurs tiers. La FDA a d’ailleurs récemment publié des conseils sur la manière dont les fournisseurs devraient le faire, car les vulnérabilités dans ce type de dispositifs sont aussi dangereuses pour l’utilisateur que difficiles à corriger. L’ETSI a également publié des orientations sur le même thème à l’intention de tous les fabricants IoT qui commercialisent leurs produits en Europe. Dans ce cas précis, la faille ne concernait pas le dispositif en lui-même mais plutôt l’API qui communiquait avec la montre, une vulnérabilité très commune que nous voyons répandue chez des milliers de clients. Il est rassurant de voir que 3G Electronics a prêté attention à la remontée d’informations des chercheurs et a rapidement corrigé la vulnérabilité. Cette rapidité d’intervention montre à quel point il est important d’être ouvert à la collaboration avec une communauté de hackers aux compétences variées, entraînés à débusquer les failles dans les moindres recoins, et dont le seul but est d’aider à rendre plus sûr les produits mis sur le marché pour le bénéfice de ceux qui les utilisent au quotidien”.