Les flottes de scooters électriques qui ont inondé les villes sont assez alarmantes en l’état. Ajoutez à présent les préoccupations liées à la cybersécurité à la liste : Les chercheurs de la société de sécurité mobile Zimperium préviennent que le populaire modèle de scooter M365 de Xiaomi a un bug inquiétant. Le défaut pourrait permettre à un pirate de s’emparer à distance de n’importe lequel des scooters pour contrôler des choses cruciales comme l’accélération et le freinage.
Rani Idan, directeur de la recherche logicielle chez Zimperium, dit qu’il a trouvé et a pu exploiter la faille dans les heures qui ont suivi l’évaluation de la sécurité du M365. Son analyse a révélé que les scooters contiennent trois composants logiciels : la gestion de la batterie, le micrologiciel qui coordonne le matériel et le logiciel, et un module Bluetooth qui permet aux utilisateurs de communiquer avec leur scooter via une application smartphone. Ce dernier laisse les appareils tristement exposés.
Rani Idan a rapidement découvert qu’il pouvait se connecter au scooter via Bluetooth sans qu’on lui demande d’entrer un mot de passe ou de s’authentifier. A partir de là, il pouvait aller plus loin et installer le firmware sur le scooter sans que le système vérifie que ce nouveau logiciel était une mise à jour officielle et fiable de Xiaomi. Cela signifie qu’un attaquant pourrait facilement mettre un logiciel malveillant sur un scooter et s’en donner le plein contrôle.
« J’ai pu contrôler toutes les fonctions du scooter sans authentification et installer un firmware malveillant « , explique Rani Idan. « Un agresseur pourrait freiner soudainement, ou accélérer une personne dans la circulation, ou n’importe quel autre scénario du pire des cas. »
Malheureusement, les problèmes liés à l’implémentation de Bluetooth, en particulier les mécanismes d’authentification faibles ou manquants, ne sont pas nouveaux dans les dispositifs de l’Internet des objets. De même, les « contrôles d’intégrité » visant à confirmer l’authenticité et la fiabilité des mises à jour des logiciels et des microprogrammes sont souvent négligés. Mais s’ils peuvent entraîner toutes sortes de risques réels pour la vie privée et la sécurité en général, ils sont évidemment particulièrement problématiques pour les dispositifs qui peuvent mettre en danger la sécurité physique de l’utilisateur.
Les chercheurs ont trouvé un ensemble similaire de défauts dans les hoverboards Segway MiniPro en 2017, mais la société, qui est la propriété du fabricant chinois de scooters Ninebot, a travaillé pour résoudre les problèmes. Zimperium s’inquiète de ce qui va se passer avec les découvertes de Rani Idan, parce que lorsque la compagnie a contacté Xiaomi pour divulguer les bugs, le fabricant de scooters a dit qu’il est conscient du problème et n’a pas la capacité de le résoudre par lui-même.
C’est apparemment parce que Xiaomi se procure son module d’implémentation Bluetooth auprès d’un développeur tiers plutôt que de le coder en interne. Xiaomi n’a pas répondu aux multiples demandes de commentaires. Mais l’entreprise a déclaré à Zimperium que « c’est un problème connu en interne. La question a été rendue publique. Parce qu’il s’agit d’un produit de coopération avec des tiers, nous essayons aussi de communiquer des solutions entre nous. »
En attendant, les scooters M365 sont vulnérables à une série d’attaques de prise de contrôle. L’application utilisateur qui se connecte aux scooters offre la possibilité de définir un mot de passe pour accéder aux différents appareils. Mais quand Rani Idan a créé des applications Android et iOS de preuve de concept pour tester les faiblesses, il a découvert que le système n’a pas besoin de connexions Bluetooth extérieures pour s’authentifier même une fois qu’un mot de passe a été configuré dans l’application officielle.
Zimperium prend la décision peut-être controversée de publier la version Android de cette preuve de concept afin de prouver l’urgence du problème et d’avertir le plus de gens possible. John Michelsen, directeur de la technologie de Zimperium, affirme que c’est le seul recours dont disposent les chercheurs en sécurité pour inciter les entreprises d’IdO et les fabricants d’électronique en général à rendre des comptes.
Les scooters Xiaomi M365 sont un choix populaire des consommateurs et ont même été utilisés par des sociétés de covoiturage comme Lyft et le service spécifique aux scooters Bird. Une version personnalisée du M365 a été le premier modèle de scooter de Bird, mais l’entreprise a commencé à l’éliminer progressivement sans rapport avec cette recherche.
« Les appareils Idan sont partout – dans notre espace personnel, dans nos données les plus sensibles et dans nos routines quotidiennes « , dit Idan. « Vous penseriez probablement que ces dispositifs mettraient en place les meilleures protections de sécurité possibles, mais ce n’est malheureusement pas toujours le cas. »
Compte tenu du risque potentiel pour les utilisateurs, il est crucial pour Xiaomi de répondre à la recherche et de trouver un moyen d’émettre des protections Bluetooth plus fortes. En attendant, continuez d’appliquer les mises à jour officielles et, comme toujours, portez un casque.
