Après l'affaire Nothing Chats, le constructeur britannique a connu une nouvelle faille de sécurité, cette fois pour sa première montre connectée, la CMF Watch Pro.
Décidément, rien ne va plus pour Nothing. Quelques semaines après qu’on a découvert que son système de messagerie Nothing Chats, qui promettait une compatibilité avec iMessage, était sujet à des soucis majeurs de confidentialité, c’est cette fois la première montre connectée du constructeur qui fait l’objet de critiques pour des raisons de sécurité.
Petit rappel des faits : fin septembre, Nothing dévoilait sa toute première montre connectée, vendue sous la marque CMF by Nothing, la CMF Watch Pro. Il s’agissait alors d’une montre connectée d’entrée de gamme avec des bordures plates, un écran carré et un prix particulièrement attractif de 50 euros. Il faut dire que la montre propose surtout des fonctions de bracelet connecté et ne permet pas d’installer d’applications tierces.
Seulement, quelques semaines à peine après la sortie de la montre, le journaliste Dylan Roussel a repéré, au sein du code de l’application CMF Watch — qui permet d’associer la montre à un smartphone — une vulnérabilité importante. « En septembre, l’application CMF Watch chiffrait à la fois l’adresse email et le mot de passe, c’était très bien. Mais la méthode de chiffrement utilisée permettait à n’importe qui de déchiffrer l’adresse email et le mot de passe avec les mêmes clés », indique-t-il dans un message posté sur X (anciennement Twitter) :
En fait, n’importe qui ayant accès à un e-mail ou un mot de passe chiffré aurait pu les déchiffrer, ce qui rend le chiffrement inutile.
Une faille en partie corrigée par Nothing
Depuis, Nothing indique avoir en partie corrigé le problème en modifiant la méthode de chiffrement du mot de passe au sein de son application mobile. Néanmoins, comme le précise le site 9to5Google, ce n’est pas encore le cas de l’adresse e-mail. Interrogé par le site spécialisé, la marque CMF de Nothing se dit cependant attentive à ces risques de sécurité et les prendre « très au sérieux » : « L’équipe enquête sur les questions de sécurité concernant l’application Watch ». Par ailleurs, le constructeur a ouvert une page sur son site Internet afin de permettre aux utilisateurs de faire part d’éventuelles vulnérabilités qu’il n’aurait pas encore repérées.
Comme le rappelle néanmoins 9to5Google, c’est la deuxième fois en quelques semaines que Nothing fait est au cœur de questions au sujet de la vie privée des utilisateurs et de soucis de confidentialité. Comme dans le cas de Nothing Chats, l’application CMF Watch n’a pas été développée par Nothing, mais par un prestataire, en l’occurrence le développeur chinois Jingxun.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix