La très répandue trottinette électrique Xiaomi M365 est sensible à une importante de faille sécurité. C’est ce que prouve en vidéo la société Zimperium, spécialisée dans la sécurité des objets connectés. Xiaomi n’a pas tardé à communiquer sur le sujet pour rassurer ses clients.

Le design est accrocheur et moderne

Mise à jour du 14 février 2019 :

Après publication de la première version de cet article, Xiaomi a tenu à répondre en rassurant ses clients. Vous trouverez les déclarations du constructeur en fin de ce papier.


Article original publié le 13 février :

De plus en plus répandue dans les milieux urbains, la trottinette électrique fait partie de ces nouveaux moyens de locomotions en pleine expansion. Comme la Xiaomi M365, un modèle répandu et accessible, configurable sans fil via l’application compagnon Segway-Ninebot.

Si les échanges d’informations entre la trottinette Xiaomi M365 et l’application officielle sont sécurisés par un mot de passe, il est possible de communiquer directement avec la trottinette sans passer par l’application officielle et donc sans avoir besoin de s’authentifier. Cette faille a été découverte par la société Zimperium qui, dans un billet de blog, explique et illustre comment il est possible de contrôler une trottinette à distance.

Lien YouTube S’abonner à FrAndroid

Grâce à une application malveillante développée pour illustrer ses propos, la société Zimperium montre comment elle peut agir directement sur des trottinettes Xiaomi M365 sans en être le propriétaire dans un rayon de 100 mètres. Trois actions sont possibles : verrouiller à distance la trottinette, agir sur les freins et l’accélération et déployer un malware capable de faire accélérer la trottinette à distance.

La sécurité des utilisateurs en question

Tous ces moyens d’interagir à distance avec une trottinette Xiaomi posent d’évidents problèmes de sécurité. Avec des vitesses de pointe à 25 km/h, un freinage soudain ou une perte de contrôle du véhicule peut entraîner des chutes dangereuses pour le conducteur ainsi que pour les autres personnes présentes sur la voie publique.

D’autant plus qu’avec une interdiction imminente des trottinettes électriques sur les trottoirs français, ces nouveaux moyens de locomotions devront donc, logiquement, partager la chaussée avec les véhicules motorisés et les cyclistes. Là où le moindre écart de conduite peut avoir des conséquences plus graves tant la vitesse y est plus importante.

Contacté et prévenu de la faille par Zimperium, Xiaomi a fait savoir que cette défaillance était connue. Elle travaille avec la société Segway-Ninebot, qui a participé à la conception de la M365, afin de trouver les solutions adéquates.

Une incertitude demeure cependant concernant les trottinettes disponibles en libre-service, comme Bird qui utilise justement cette Xiaomi M365. Si le châssis est le même, le système intégré y est un peu modifié pour justement communiquer exclusivement avec l’application du service Bird.

La réponse de Xiaomi

Après publication de cet article, voici ce qu’a tenu à affirmer Xiaomi pour taire les inquiétudes de ses utilisateurs :

Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté. 

C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée. En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.

Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs.

À lire sur FrAndroid : Test de la Xiaomi M365 « Mijia », une trottinette électrique séduisante