Via une preuve de concept, Bitdefender expose une faiblesse dans l'échange de données entre une smartwatch et un smartphone. En l'occurrence, la démonstration d'une attaque par force brute a lieu avec la Samsung Galaxy Gear Live associée à un smartphone Nexus 4 fonctionnant avec la préversion d'Android L (qui est devenu Android 5.0 alias Lollipop).
Elle permet de lire en clair des données communiquées entre les deux appareils. Des messages, des données biométriques et potentiellement d'autres données sensibles sont ainsi sous la menace d'une compromission.
Les chercheurs de Bitdefender disent avoir eu recours à des outils open source et un peu d'ingéniosité pour parvenir à leurs fins mais ne sont finalement pas étonnés par leur découverte. Le cœur du problème est au niveau de la communication Bluetooth.
Sa protection - son obfuscation - repose sur un code à six chiffres qui est demandé lors de l'appairage initial. Avec seulement un million de combinaisons possibles, c'est presque du pain béni pour un attaquant entêté qui procède par force brute. Cela suppose toutefois qu'il soit suffisamment proche de sa victime et qu'il analyse tout le trafic brut.
Rien de rédhibitoire, Bitdefender a déjà des parades à l'esprit. La plus simple est la saisie d'un mot de passe avant un appairage, quoique cela pourrait susciter la frustration de l'utilisateur. Une autre piste est de s'appuyer sur la technologie NFC pour transmettre un code PIN à une smartwatch lors de l'appairage, mais l'implémentation ne serait pas sans effet sur la douloureuse.
Bitdefender évoque enfin l'ajout d'une seconde couche de chiffrement par une application afin de renforcer celle Bluetooth avec l'inconvénient que cela aurait une incidence négative sur l'autonomie de la batterie.
La preuve de concept a surtout le mérite de rappeler que la sécurité n'est pas à négliger dans un secteur amené à prendre de l'ampleur comme celui de l'Internet des objets. Le passé a malheureusement montré que ce sont en général des questions que l'on se pose a posteriori.
