Les montres connectées peuvent servir à espionner leur utilisateur, en collectant à son insu des informations qui, après analyse, pourraient se transformer en données personnelles. Ces données, entre de mauvaises mains, peuvent permettre de surveiller les activités de l'utilisateur, notamment la saisie d'informations sensibles. C'est ce qui ressort d'une nouvelle étude de Kaspersky Lab consacrée à l'impact de la prolifération de l'Internet des objets (IoT) sur la vie quotidienne. Ces dernières années, le secteur de la cybersécurité a démontré que les données privées des utilisateurs deviennent une marchandise de très grande valeur, pouvant donner lieu à des abus pratiquement sans limites, allant d'un profilage numérique de leurs victimes par des cybercriminels à des prévisions marketing sur le comportement des utilisateurs. Cependant, tandis que les consommateurs sont de plus en plus paranoïaques quant à l'utilisation abusive de leurs informations personnelles, d'autres sources de menace, moins évidentes, demeurent sans protection. Par exemple, afin d'entretenir leur forme, nombre d'entre nous portons des bracelets connectés (fitness trackers) pour suivre nos exercices et activités sportives. Or cela pourrait avoir de graves conséquences. Nous utilisons couramment des objets connectés, notamment des montres et autres bracelets, lors d'activités sportives pour surveiller notre état de santé et recevoir des alertes. Pour accomplir leurs principales fonctions, la plupart de ces appareils sont équipés de capteurs intégrés d'accélération (accéléromètres), souvent associés à des capteurs de rotation (gyroscopes), afin de compter le nombre de pas et de déterminer la position de l'utilisateur à un instant donné. Les experts de Kaspersky Lab ont examiné quelles informations ces capteurs pourraient communiquer à des tiers non autorisés et se sont intéressés de plus près aux montres connectées de plusieurs fabricants. Pour étudier la question, les chercheurs ont développé une application relativement simple pour montre connectée, destinée à enregistrer les signaux des accéléromètres et gyroscopes intégrés. Les données collectées étaient alors sauvegardées dans la mémoire même de la montre ou bien transférées par Bluetooth au téléphone mobile associé. Au moyen d'algorithmes mathématiques accessibles à la puissance de calcul de la montre connectée, il a été possible d'identifier des schémas comportementaux, les moments et les lieux où l'utilisateur se déplaçait, ou encore des durées. Le plus important est que cela a permis d'espionner des activités sensibles, telles que la saisie d'un mot de passe sur un ordinateur (avec une précision pouvant atteindre 96 %) ou d'un code sur un distributeur automatique (environ 87 %) ou un téléphone mobile verrouillé (environ 64 %). L'ensemble de données obtenu à partir des signaux est lui-même représentatif du comportement de l'utilisateur de la montre. Fort de ces informations, un tiers pourrait aller plus loin et tenter de déterminer son identité, que ce soit par le biais de l'adresse e-mail demandée au moment de l'inscription dans l'application ou via l'accès activé à des identifiants de compte Android. Dès lors, ce n'est plus qu'une question de temps avant la découverte d'informations détaillées sur la victime, notamment ses habitudes quotidiennes et les moments où elle saisit des données importantes. Or, compte tenu de la valeur croissante des données personnelles, nous pourrions rapidement nous retrouver dans un monde où des individus monnaieraient ces informations. Même si cette vulnérabilité n'est pas monétisée mais simplement exploitée par des cybercriminels pour leurs propres desseins malveillants, les conséquences potentielles n'ont d'autres limites que leur imagination et leur niveau de connaissances techniques. Par exemple, ceux-ci pourraient décrypter les signaux reçus à l'aide de réseaux neuronaux, attaquer physiquement leurs victimes ou bien installer des « skimmers » sur les DAB qu'elles fréquentent. Nous avons déjà observé que des criminels peuvent atteindre une précision de 80 % lorsqu'ils tentent de déchiffrer des signaux accélérométriques afin d'identifier un mot de passe ou un code PIN au moyen des seules données collectées par les capteurs d'une montre connectée. « Les accessoires connectés ne sont pas que des gadgets miniatures mais aussi des systèmes cyber-physiques capables d'enregistrer, de stocker et de traiter des paramètres physiques. Notre recherche révèle que même des algorithmes très simples, exécutés sur la montre connectée elle-même, peuvent capturer le profil spécifique d'un utilisateur à partir de signaux accélérométriques et gyroscopiques. Ces profils peuvent ensuite servir à percer l'anonymat d'une personne et à espionner ses activités, en particulier les moments où elle saisit des informations sensibles. Et cela peut se faire via des applications légitimes pour montre connectée, qui transmettent des signaux à des tiers à l'insu de l'utilisateur », explique Sergey Lurye, passionné de sécurité et co-auteur de l'étude chez Kaspersky Lab. Les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prêter attention aux points suivants lorsqu'ils portent sur eux des accessoires connectés : _ Si l'application envoie une requête pour récupérer les informations de compte de l'utilisateur, il y a lieu de s'en inquiéter car des criminels pourraient facilement obtenir vos « empreintes numériques ». _ Si l'application vous demande la permission d'envoyer des données de géolocalisation, cela doit vous mettre la puce à l'oreille. Ne donnez pas aux fitness trackers que vous téléchargez sur votre montre connectée des autorisations supplémentaires et n'utilisez pas votre adresse e-mail d'entreprise comme identifiant. _ Une consommation rapide de la batterie de la montre peut aussi être une sérieuse cause de préoccupation. Si votre gadget est à court de batterie en quelques heures à peine au lieu d'une journée, vérifiez ce qu'il est en train de faire. Il se peut qu'il enregistre des signaux ou, pire, qu'il les envoie à quelqu'un d'autre. Pour en savoir plus sur la surveillance par des accessoires connectés, lisez notre blog sur Securelist.com.
