Des trottinettes électriques détournées à distance – sans mot de passe

Des chercheurs en sécurité ont démontré qu’il était possible de détourner à distance certaines trottinettes électriques à la mode, les forçant à freiner brusquement ou à accélérer dangereusement.

Les chercheurs de chez Zimperium affirment qu’il n’a fallu que quelques heures pour trouver la faille de sécurité des trottinettes Xiaomi M365 utilisées par les nomades urbains du monde entier.

Le chercheur Rani Idan a découvert qu’il était possible de cibler n’importe quelle trottinette Xiamoi M365 passant dans un rayon de 100 mètres, la forçant à accélérer ou freiner inopinément – sans besoin d’accès physique à l’appareil.

Dans une vidéo courte mais efficace, le chercheur au sweat à capuche montre combien il est facile de faire caler une trottinette alors que son propriétaire perplexe tente de traverser la route.

Il s’agit, pour résumer, d’une attaque de type “déni de service”.

La faille repose sur les communications Bluetooth non sécurisées entre la trottinette et son appli pour smartphone – un problème rencontré trop souvent chez les objets connectés.

Selon Idan, l’application dédiée est conçue pour permettre au propriétaire de la trottinette d’utiliser diverses fonctionnalités comme le régulateur de vitesse, le mode éco, le système antivol et les mises à jour du micrologiciel (firmware).

L’appli elle-même est protégée par un mot de passe qui peut être choisi par l’utilisateur.

Tout semble convenir en principe, tant que le mot de passe choisi est suffisamment robuste.

Cependant, les chercheurs ont découvert qu’un élément important de la sécurité de la trottinette avait été imprudemment négligé :

“Lors de nos recherches, nous avons trouvé que le mot de passe n’était pas utilisé correctement durant la phase d’authentification avec la trottinette et que toutes les commandes pouvaient être exécutées sans mot de passe. Le mot de passe est validé du côté de l’application, mais la trottinette elle-même ne garde pas en mémoire le statut de l’authentification.”

“Ainsi, nous pouvons utiliser toutes ces fonctionnalités sans s’authentifier.”

En d’autres termes, un pirate n’a pas besoin de connaître le mot de passe de la trottinette pour lui envoyer des commandes malveillantes pourvu qu’il soit dans un rayon de 100 mètres.

Les chercheurs pensent que la faille peut être exploitée de trois façons évidentes :

• Attaque de Déni de Service – Verrouille toute trottinette M365.
• Déploiement de Malware – Installe un nouveau micrologiciel malveillant qui peut prendre le contrôle entier de la trottinette.
• Attaque Ciblée – Cible un particulier et fait brusquement freiner ou accélérer sa trottinette.

Les développeurs de l’équipe de recherche ont également déclaré avoir mis au point un code capable d’accroître la vitesse des trottinettes, mais ont sagement décidé de ne pas le publier pour des raisons évidentes de sécurité.

Néanmoins, le fait que la trottinette Xiaomi M365 soit utilisée par un grand nombre de sociétés américaines de location pose la question des risques inconsciemment pris au quotidien par les utilisateurs.

Idan a décrit dans The Verge combien il serait difficile pour les usagers de dire si leur trottinette habituelle était un des modèles vulnérables :

“Cela peut impliquer n’importe quel service de partage de trottinettes qui utilise des appareils Xiaomi mais n’a pas désactivé ou remplacé le module Bluetooth. Par ailleurs, les trottinettes Xiaomi sont vendues sont plusieurs noms, qui sont potentiellement affectés.”

Zimperium dit avoir informé Xiaomi de cette vulnérabilité le mois dernier, mais qu’une mise à jour de sécurité n’avait pas encore été publiée.