Des chercheurs en sécurité viennent de pointer le doigt sur un danger émanant des montres connectées. Il serait en effet possible de les pirater afin de connaître les codes des cartes bancaires des utilisateurs, par l’intermédiaire de l’accéléromètre et du gyroscope.

montre connecté cb

Cinq chercheurs en sécurité se sont penchés sur le cas des montres connectées pour tenter de « voler » les codes de carte bleue de leurs utilisateurs. Leur constat est assez simple : les montres connectées (LG G Watch Urbane et Moto 360 dans le cadre de l’étude) intègrent un gyroscope, un accéléromètre et un compas. La trousse à outils idéale pour pouvoir retracer les gestes de son porteur et donc connaître le code PIN qu’il aurait entré sur le clavier d’un terminal de paiement ou d’un distributeur de billets. Les cinq hommes ont réussi à créer un algorithme permettant de deviner dans 8 cas sur 10 le bon code PIN de la carte bleu du porteur de la montre. Encore faut-il réussir à accéder aux données stockées sous Android Wear.

 

Pirater le Bluetooth

Pour parvenir à récupérer les informations de tracking, les chercheurs ont pensé à deux idées. La première est la plus sophistiquée, mais la plus compliquée à mettre en oeuvre. Il s’agit de réceptionner les données lors de leur transfert en Bluetooth avec le téléphone. L’autre solution est d’infecter la montre ou le smartphone avec un malware pour récupérer les données encore une fois à distance. Pour sécuriser les montres, les chercheurs préconisent aux constructeurs de montres sous Android Wear de sécuriser les données relatives aux capteurs, ou d’ajouter du bruit numérique pour rendre plus difficile la tâche des pirates.

Les chercheurs conseillent aux porteurs de montres connectées d’ajouter des gestes totalement aléatoires lors de la saisie du code PIN de leur carte bleue pour brouiller les pistes. Il ne faut toutefois pas se contenter de bouger sa main au-dessus des chiffres du clavier puisque l’algorithme permet de distinguer l’appui sur une touche d’un simple geste de la main. L’étude ne prend toutefois pas en compte le fait qu’une montre se porte bien souvent sur le poignet de la main faible, qui n’est pas utilisée pour taper les codes.

À lire sur FrAndroid : Google s’apprêterait à fabriquer ses propres montres Android Wear