Nothing à nouveau dans la tourmente pour des questions de sécurité

 
Après l’affaire Nothing Chats, le constructeur britannique a connu une nouvelle faille de sécurité, cette fois pour sa première montre connectée, la CMF Watch Pro.
La CMF Watch Pro de Nothing
La CMF Watch Pro de Nothing // Source : Nothing

Décidément, rien ne va plus pour Nothing. Quelques semaines après qu’on a découvert que son système de messagerie Nothing Chats, qui promettait une compatibilité avec iMessage, était sujet à des soucis majeurs de confidentialité, c’est cette fois la première montre connectée du constructeur qui fait l’objet de critiques pour des raisons de sécurité.

Petit rappel des faits : fin septembre, Nothing dévoilait sa toute première montre connectée, vendue sous la marque CMF by Nothing, la CMF Watch Pro. Il s’agissait alors d’une montre connectée d’entrée de gamme avec des bordures plates, un écran carré et un prix particulièrement attractif de 50 euros. Il faut dire que la montre propose surtout des fonctions de bracelet connecté et ne permet pas d’installer d’applications tierces.

Seulement, quelques semaines à peine après la sortie de la montre, le journaliste Dylan Roussel a repéré, au sein du code de l’application CMF Watch — qui permet d’associer la montre à un smartphone — une vulnérabilité importante. « En septembre, l’application CMF Watch chiffrait à la fois l’adresse email et le mot de passe, c’était très bien. Mais la méthode de chiffrement utilisée permettait à n’importe qui de déchiffrer l’adresse email et le mot de passe avec les mêmes clés », indique-t-il dans un message posté sur X (anciennement Twitter) :

En fait, n’importe qui ayant accès à un e-mail ou un mot de passe chiffré aurait pu les déchiffrer, ce qui rend le chiffrement inutile.

Une faille en partie corrigée par Nothing

Depuis, Nothing indique avoir en partie corrigé le problème en modifiant la méthode de chiffrement du mot de passe au sein de son application mobile. Néanmoins, comme le précise le site 9to5Google, ce n’est pas encore le cas de l’adresse e-mail. Interrogé par le site spécialisé, la marque CMF de Nothing se dit cependant attentive à ces risques de sécurité et les prendre « très au sérieux » : « L’équipe enquête sur les questions de sécurité concernant l’application Watch ». Par ailleurs, le constructeur a ouvert une page sur son site Internet afin de permettre aux utilisateurs de faire part d’éventuelles vulnérabilités qu’il n’aurait pas encore repérées.

Comme le rappelle néanmoins 9to5Google, c’est la deuxième fois en quelques semaines que Nothing fait est au cœur de questions au sujet de la vie privée des utilisateurs et de soucis de confidentialité. Comme dans le cas de Nothing Chats, l’application CMF Watch n’a pas été développée par Nothing, mais par un prestataire, en l’occurrence le développeur chinois Jingxun.


Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !

Les derniers articles