C’est une faille particulièrement importante qui a été relevée par un chercheur en sécurité pour les montres de sport de la marque Coros. En effet, le 10 mars dernier, le cabinet allemand en sécurité informatique Syss découvrait pas moins de six attaques potentielles sur la Coros Pace 3 en raison de huit failles de sécurité.
Pour aller plus loin
Quelles sont les meilleures montres connectées de sport en 2025 ?
Concrètement, en se connectant à la montre en Bluetooth, sans même interagir physiquement avec elle, une personne malveillante pourrait accéder aux données d’un compte Coros, consulter les notifications, modifier la configuration, réinitialiser la montre ou effacer les données d’un entraînement en cours.
Dans la foulée de cette découverte, le cabinet Syss a fait part de ces informations le 14 mars à Coros afin de permettre au constructeur de corriger les différentes failles. La marque a finalement répondu un mois plus tard, le 15 avril, en indiquant qu’un correctif était prévu « d’ici la fin de l’année ».
Comme c’est souvent le cas dans le domaine de la sécurité informatique, Syss a finalement publié ses découvertes trois mois plus tard, le 17 juin, alors qu’aucun correctif n’était encore déployé par Coros sur sa montre.
Coros reconnaît les failles et promet d’accélérer les correctifs
C’est finalement après cette publication que le blogueur DC Rainmaker, particulièrement reconnu dans le domaine des technologies sportives, a joué de ses contacts chez Coros afin d’alerter le constructeur sur la gravité des failles relevées :
Ce n’était pas seulement un problème mineur de sécurité, ou même un souci majeur. Ce sont huit failles majeures qui donnent accès à littéralement tout pour l’attaquant. […] Pour mon mail, j’ai voulu créer du grabuge en incluant le PDG, le chef produit, le responsable interne des relations publiques et deux personnes de leur agence de relations publiques.
Il semble finalement que les remous provoqués par DC Rainmaker aient permis à Coros de prendre conscience de la gravité de la situation et de prioriser la correction de ces failles, comme l’a confirmé Lewis Wu, patron de la marque : « Lorsque nous avons été prévenus, nous avons commencé à travailler sur le problème, mais je dois admettre que la priorité aurait dû être plus élevée […]. Nous avons répondu avec une réponse simpliste « avant la fin 2025 », mais nous aurions dû être plus spécifiques sur le calendrier de chaque élément et indiquer qu’ils seront corrigés bien avant la fin de l’année ».
Concrètement, Coros indique désormais que les failles liées au Bluetooth seront corrigées avant la fin du mois de juillet, tandis que les problèmes liés au chiffrement des appareils le seront probablement avant fin août.
Par ailleurs, la marque de montre de sport confirme la crainte de DC Rainmaker sur la nature des produits touchés. Si l’alerte initiale visait uniquement la Coros Pace 3, Lewis Wu indique que ces failles concernent « la plupart des appareils Coros » et que les correctifs seront donc apportés à l’ensemble de la gamme de la marque. D’ici là, les utilisateurs devront simplement prendre leur mal en patience, comme l’indique le constructeur : « nos prochaines mises à jour logicielles seront disponibles en juillet et août, assurez-vous de mettre à jour votre montre afin de corriger les vulnérabilités mentionnées ». Les personnes qui craindraient pour leur données peuvent couper les notifications d’ici à la prochaine mise à jour, pour limiter les risques.
Contacté, Coros indique que certains correctifs, comme « l’amélioration de l’appairage et de l’authentification des appareil » seront déployés la semaine prochaine. La marque indique par ailleurs que ces failles sont « difficiles à exploiter en situation réelle » et que rien n’indique qu’elles aient déjà été exploitées à des fins malveillantes.
Rappelons par ailleurs que le principal concurrent de Coros, Garmin, avait été victime en 2020 d’une attaque massive qui avait mis à mal toutes sa plateforme en ligne.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
GĂ©rer mes choix