Une montre intelligente populaire conçue exclusivement pour les enfants contient une porte dérobée non documentée qui permet à quelqu'un de prendre des photos à distance, d'écouter les appels vocaux et de suivre les lieux en temps réel, a déclaré un chercheur. La smartwatch X4 est commercialisée par Xplora, un vendeur de montres pour enfants basé en Norvège.
L'appareil, qui se vend environ 200 dollars, fonctionne sur Android et offre une série de fonctionnalités, notamment la possibilité de passer et de recevoir des appels vocaux vers des numéros approuvés par les parents et d'envoyer une émission SOS qui alerte les contacts d'urgence sur l'emplacement de la montre. Une application distincte fonctionnant sur les smartphones des parents leur permet de contrôler l'utilisation des montres et de recevoir des avertissements lorsqu'un enfant s'est égaré au-delà des limites géographiques fixées.
Il s'avère que le X4 contient autre chose : une porte dérobée qui n'a pas été découverte que très récemment, grâce à une impressionnante enquête numérique. La porte dérobée est activée par l'envoi d'un message texte chiffré. Harrison Sand et Erlend Leiknes, chercheurs de la société de sécurité norvégienne Mnemonic, ont déclaré qu'il existe des commandes permettant de signaler discrètement la position de la montre en temps réel, de prendre un cliché et de l'envoyer à un serveur Xplora, et de passer un appel téléphonique qui transmet tous les sons à portée de voix.
Sand et Leiknes ont également découvert que 19 des applications préinstallées sur la montre sont développées par Qihoo 360, une entreprise de sécurité et fabricant d'applications situé en Chine. Une filiale de Qihoo 360, 360 Kids Guard, a également conçu le X4 conjointement avec Xplora et fabrique le matériel de la montre. « Je ne voudrais pas de ce genre de fonctionnalité dans un appareil produit par une entreprise comme celle-là », a déclaré Sand, en faisant référence à la porte dérobée et à Qihoo 360.
En juin dernier, Qihoo 360 a été placé sur une liste de sanctions du ministère américain du commerce. Le motif : les liens avec le gouvernement chinois rendaient l'entreprise susceptible de s'engager dans « des activités contraires aux intérêts des États-Unis en matière de sécurité nationale ou de politique étrangère ».
L'existence d'une porte dérobée non documentée dans une montre provenant d'un pays ayant des antécédents connus en matière de piratage et d'espionnage est préoccupante. En même temps, cette porte dérobée particulière a une applicabilité limitée. Pour utiliser les fonctions, il faudrait connaître à la fois le numéro de téléphone attribué à la montre (elle a un emplacement pour une carte SIM d'un opérateur de téléphonie mobile) et la clé de chiffrement unique câblée dans chaque appareil.
Dans une communication, Xplora a déclaré qu'il serait difficile d'obtenir à la fois la clé et le numéro de téléphone pour une montre donnée. L'entreprise a également déclaré que même si la porte dérobée était activée, il serait également difficile d'obtenir les données collectées. Le porte-parole a déclaré que la société avait vendu environ 100 000 montres intelligentes X4 à ce jour. La société est en train de lancer la X5. Il n'est pas encore précisé si ce modèle contient des fonctionnalités similaires à celles de la porte dérobée.
Un câble USB modifié fixé à l'arrière d'une montre X4
Sand et Leiknes ont découvert la porte dérobée grâce à une impressionnante rétro-ingénierie. Ils ont commencé avec un câble USB modifié qu'ils ont soudé sur des broches exposées au dos de la montre. En utilisant une interface pour mettre à jour le micrologiciel de l'appareil, ils ont pu télécharger le micrologiciel existant sur la montre. Cela leur a permis d'inspecter l'intérieur de la montre, y compris les applications et les différents codes installés.
Un package qui s'est démarqué s'intitule "Persistent Connection Service". Il démarre dès que l'appareil est allumé et se répète dans toutes les applications installées. Lorsqu'il interroge chaque application, il établit une liste d'intentions - ou de frameworks de messagerie - qu'il peut utiliser pour communiquer avec chaque application.
Les soupçons des chercheurs ont été encore plus éveillés lorsqu'ils ont trouvé des interfaces portant les noms suivants :
WIRETAP_INCOMING (écoutes téléphoniques entrantes)
WIRETAP_BY_CALL_BACK (l'écoute téléphonique par rappel)
COMMAND_LOG_UPLOAD (téléchargement du journal des commandes)
REMOTE_SNAPSHOT (photo à distance)
SEND_SMS_LOCATION (envoyer un SMS de localisation)
Après avoir fouillé davantage, les chercheurs ont découvert que les dispositifs étaient activés par des messages SMS chiffrés avec la clé câblée. Les journaux du système lui ont montré que la clé était stockée sur une puce flash, il a donc vidé le contenu et l'a obtenu : #hml;Fy/sQ9z5MDI=$. La rétro-ingénierie a également permis au chercheur de déterminer la syntaxe nécessaire pour activer la fonction de la prise de photo à distance.
« L'envoi du SMS a déclenché la prise d'une photo de la montre et celle-ci a été immédiatement téléchargée sur le serveur de Xplora. Il n'y avait aucune indication sur la montre qu'une photo avait été prise. L'écran est resté éteint tout le temps », a écrit Sand. Sand a également dit qu'il n'avait pas activé les fonctions d'écoute ou de signalement des lieux, mais avec un peu plus de temps, a-t-il dit, il est sûr qu'il aurait pu le faire.
Comme le notent les chercheurs et Xplora, l'exploitation de cette porte dérobée serait très difficile, car il faut connaître à la fois la clé de chiffrement unique réglée en usine et le numéro de téléphone attribué à la montre. Pour cette raison, il n'y a aucune raison pour que les personnes qui possèdent un appareil vulnérable paniquent. Il n'est cependant pas impossible que la clé soit obtenue par une personne ayant des liens avec le fabricant. Et bien que les numéros de téléphone ne soient généralement pas publiés, ils ne sont pas vraiment privés non plus.
Cette porte dérobée souligne les risques que pose le nombre croissant d'appareils courants fonctionnant avec des microprogrammes qui ne peuvent être inspectés de manière indépendante sans les mesures hardies employées par Mnemonic. Les failles de la montre montrent que les problèmes de sécurité ne touchent pas que les adultes. Les choix que font les parents quant à l'utilisation des technologies par leurs enfants peuvent également avoir des conséquences considérables.
Sources : Mnemonic, US department of commerce
Et vous ?
Avez-vous déjà été intéressé par (ou avez-vous acheté) un tel produit ?
Si oui, qu'est-ce qui vous oriente vers tel produit plutôt qu'un autre ?
Que pensez-vous de la découverte des chercheurs de Mnemonic ? Êtes-vous surpris de voir autant d'appareils concernés par ces failles ?
Voir aussi :
L'Allemagne interdit la vente de montres connectées destinées aux enfants. Les considérant comme des dispositifs d'espionnage
Jouets connectés : le FBI avertit les parents des dangers, pour la sécurité et la vie privée de leurs enfants
600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe, et ont des failles qui mettent la sécurité des personnes en danger
Le FBI tire la sonnette d'alarme sur les risques de sécurité auxquels peuvent faire face les téléviseurs connectés. Et prodigue quelques conseils