Objets connectés pour la santé : une étude révèle des failles de sécurité inquiétantes

Commandé par l'expert du droit à la vie privée sur le Web VPNMentor, cette étude rendue publique ce vendredi 29 juin met le doigt sur le manque de sécurité de trois objets de santé connectée.

VOIR AUSSI : Objets connectés, l'impossible sécurité ?

Pour tester ces produits, les chercheurs ont examiné leurs politiques de confidentialité et ont pu constater que chaque objet amasse des informations allant au-delà de ce que les utilisateurs ont autorisé. Surtout, il a été démontré que les appareils connectés pouvaient être facilement hackés.

Les hackers peuvent prendre le contrôle des électrodes agissant sur le cerveau des utilisateurs

Cette prise de contrôle peut même aller jusqu'à la possibilité de contrôler à distance des électrodes positionnés sur le crâne des propriétaires du casque connecté de la marque Modius. Cet appareil est destiné aux personnes souhaitant moduler leur appétit afin de réguler leur poids. En envoyant des signaux électriques au cerveau, le casque est supposé stimuler le nerf auditif et donc diminuer la sensation de faim pour nous faire maigrir. Présenté au CES 2018, l'objet avait plu pour sa capacité à renforcer le métabolisme en brûlant les graisses. Ce diadème futuriste est pourtant loin d'être un bon compagnon de route puisque les hackeurs mobilisés pour l'étude ont pu accéder aux données personnelles des utilisateurs, y compris leurs empreintes digitales, les géolocaliser et même contrôler l'appareil s'il n'est pas trop loin. En augmentant l'intensité du signal électrique envoyé par les électrodes, une personne malveillante peut tout à fait causer des maux de tête et nausées à un propriétaire de casque Modius.

Toujours dans le domaine de la santé, c'est le thermomètre sans fil pour enfant Ivy Health qui a été testé. Ce type de produits est de plus en plus apprécié par les parents soucieux de garder un œil sur la température de leur enfant et observer son évolution sur l’application gratuite IvyHealth Kids. Problème : l'accès aux informations personnelles entrées (noms, date de naissance, sexe, etc.) est mal protégé. Au terme d'un piratage, ces données peuvent facilement être révélées. En effet, l'API et le portail de l'application sont tous hébergés sur un serveur HTTP non sécurisé.

Enfin, le troisième objet testé est une paire de semelles chauffantes Digitsole Warm, compatibles avec Bluetooth et permettant à l'utilisateur de suivre ses activités sportives. Or, l'étude montre que des hackers pourraient aisément augmenter à distance la température des semelles chauffantes jusqu'à un maximum de 45 °C. Par ailleurs, l'application collecte les données de géolocalisation des utilisateurs même lorsqu'elle n'est pas utilisée et se trouve simplement en arrière-plan.

Finalement, ce qu'étaye cette étude, c'est bien le fait que dans la course à la mise en marché d'un produit, les constructeurs évacuent un peu trop rapidement la question de la sécurité et/ou ne procèdent que par amendement une fois le produit commercialisé. Or, dans le monde ultraconnecté dans lequel nous vivons, la recherche d'infaillibilité des objets connectés ne devrait pas être un bonus, mais bien une condition sine qua non. C'est l'esprit du privacy by design, qui suppose que le respect de la vie privée doit être présent dès les débuts de la conception d'un produit. Un changement de mentalité qui devra bien finir par infuser toute la chaîne de production.

Edit du 9/07 : L’entreprise de l’un de trois objets, Modius, a réagi en apportant quelques précisions sur les conditions sous lesquelles la faille sécuritaire est possible. Il s’avère que le hackage de l’appareil Modius a eu lieu pendant que l’appareil était allumé mais inactif (autrement dit, en veille). Or, lorsqu’il est actif, la possibilité de synchronisation avec un autre appareil disparait. Donc, en réalité, l’objet ne peut pas être hacké quand il est effectivement porté et actif sur la tête d’un utilisateur. Toujours est-il que l’application Modius peut être hackée, exposant les données personnelles des utilisateurs (contact, poids, géolocalisation…). Ce qui change c’est que le hacker ne peut plus s’attaquer directement à l’utilisateur en prenant contrôle de l’appareil pendant qu’il est en train de le porter.

– Pour consulter l'étude en ligne, cliquez ici.

Quelque chose à ajouter ? Dites-le en commentaire.