Alain McKenna
Canoë

Assurance réduite grâce à Fitbit: Manuvie fait fausse route

Des bracelets connectés peu sécurisés

Voir en plein écran

Alain McKenna

La firme d'assurances Manuvie va de l'avant, et offrira des primes d'assurances réduite, moyennant le port par les clients concernés d'un bracelet d'entraînement Fitbit. Une pratique douteuse, puisque les données d'un tel bracelet peuvent être facilement manipulées pour dire à peu près n'importe quoi.

C'est, en un mot, la conclusion d'une étude réalisée par des chercheurs de l'Université de Toronto, qui a comparé le niveau de confidentialité de huit des bracelets connectés et des montres (soi-disant) intelligentes les plus populaires sur le marché. Résultat: tous sauf un, l'Apple Watch, présentent des failles dans le traitement des données qu'un malin bidouilleur peut, sans trop d'effort, exploiter afin de faire mentir l'appareil.

L'ironie, dans l'affaire, c'est que les chercheurs du Citizen Lab de la Munk School of Global Affairs de l'Université de Toronto ont publié leurs résultats une semaine avant que ne filtre l'annonce de Manuvie. Il faut dire que l'engouement du secteur financier et de l'assurance pour les nouvelles technologies a bondi, ces derniers jours...

«Ces bracelets supervisent les battements cardiaques, le nombre de pas, le sommeil, et compilent tout ça afin de fixer des objectifs liés à la santé et la diète alimentaire. Pour sept des huit appareils testés, on a découvert qu'ils exposaient leurs utilisateurs au suivi à long terme de leur positionnement (par des tiers), s'ils ne sont pas constamment connectés à un appareil mobile», résume l'étude d'entrée de jeu.

Les sept appareils testés sont les Fitbit Charge HR, Apple Watch, Xiaomi Mi Band, Garmin Vivosmart, Basis Peak, Jawbone Up 2, Mio Fuse et Withings Pulse O2. Ils représentent l'écrasante majorité du marché des bracelets connectés, les cinq marques dominant le créneau étant Fitbit, Apple, Xiaomi, Samsung et Garmin.

Longue histoire courte, certains appareils démontrent une faille du côté de l'adresse matérielle (MAC) diffusée publiquement via le protocole Bluetooth, quand aucun jumelage n'est en cours avec un appareil mobile. Diffusant cette même adresse partout sur son passage, il est facile, disent les chercheurs, d'en suivre l'itinéraire, et donc de connaître les déplacements de son utilisateur.

Une seconde faille existe dans les communications entre les applications mobiles ou sur PC et les serveurs de certains fabricants. Les données sont transmises de façon non sécurisée, ce qui a permis aux chercheurs de transmettre de fausses données acceptées par les serveurs, puis incorporées au profil de l'utilisateur.

Enfin, une dernière faille existe dans certains cas au niveau de l'inscription, où il est possible d'utiliser le nom d'utilisateur et son mot de passe pour transmettre des données trompeuses.

«Notre étude remet en question la crédibilité de ces appareils. Leurs données sont utilisées jusqu'à la Cour, dans des dossiers criminels. Nous croyons que leur fiabilité doit être revérifiée, surtout dans des cas comme des dossiers légaux, ou même s'il s'agit de réduire la prime d'assurance de particuliers», concluent les chercheurs.



Cliquez sur «J'aime» pour ajouter nos articles à votre fil Facebook


Vidéos

Photos