Montres connectées : vous ne serez pas les seuls à géolocaliser vos enfants !

 

Les montres connectées ou smartwatches aux poignets de vos enfants peuvent permettre à des inconnus de les suivre en temps réel et de les contacter directement, selon un rapport publié ce mois-ci et qui révèle de graves lacunes dans la conception de certains de ces produits et leurs applications mobiles.

 

Le conseil norvégien des consommateurs “The Norwegian Consumer Council” (NCC) a commandé une enquête sur les dispositifs de sécurité inclus dans les montres connectées pour les enfants Gator 2, Tinitell, Viksfjord et Xplora. Toutes ces modèles de montres émettent et reçoivent des appels, offrent un suivi GPS et incluent une liste de contacts. Selon le modèle, les caractéristiques supplémentaires varient du sms, à la messagerie vocale, le géorepérage et le bouton SOS pour bloquer l’extinction de l’appareil.

 

L’évaluation technique, réalisée par la société de sécurité informatique Mnemonic, révèle des problèmes alarmants, allant du processus d’enregistrement du compte à l’envoi et au stockage des informations privées. Ces manquements apparaissent clairement dans les conditions générales d’utilisation disponibles avant la création d’un compte, et qui nécessitent le consentement de l’utilisateur. Parmi les quatre marques précédemment citées, seul Tinitell demande le consentement à l’enregistrement, alors que Gator n’a pas de termes et conditions d’utilisation. Les trois produits recueillent des données personnelles pour utilisation à des fins de ciblage marketing sans l’accord de l’utilisateur, ce qui est une violation des lois européennes sur les données et la protection des consommateurs.

 

Mnémonique a découvert plusieurs méthodes pour compromettre les périphériques Gator 2 et Viksfjord, sans qu’un signal d’alarme ne survienne à propos d’activités non autorisées. Dans le rapport réalisé pour le compte du NCC, Mnemonic déclare ne « relever aucun moyen qui permette aux consommateurs de se protéger », ajoutant que « l’arrêt complet de l’appareil empêchera seulement la localisation de la montre et la poursuite de la collecte de données ».

 

De plus, ces deux smartwatches sont vulnérables aux attaques de type « Man in the middle » (MitM) qui permettent la manipulation des données de localisation de l’appareil. En conséquence, un attaquant pourrait surveiller l’emplacement de l’enfant et donner l’impression que celui-ci est dans un endroit sûr. En outre, Viksfjord peut lancer un appel sans intervention de l’utilisateur sur un numéro de téléphone spécifique, le transformant en un gadget d’espionnage.

 

Le rapport du NCC signale des problèmes dans les quatre appareils testés par Mnemonic, ce qui soulève des inquiétudes chez les parents qui cherchent à garder un œil sur les allées et venues de leurs enfants. Plutôt que de rassurer les parents, ces appareils pourraient au contraire porter atteinte aux enfants en envoyant leurs données personnelles à des inconnus. Gator, par exemple, transmet les informations en texte non chiffré à un serveur en Chine.

 

Le plus grand souci est que certaines de ces montres connectées sont vendues sous différentes marques, ce qui rend difficile le choix des appareils car il ne suffit pas de pointer un seul constructeur. Pour leur bien, les consommateurs doivent s’assurer que les produits IoT qu’ils achètent répondent à certaines normes de sécurité.