Les appareils portables connaissent un succès croissant mais des chercheurs ont identifié de graves vulnérabilités au niveau de la confidentialité de leurs données qui remettent en cause leur fiabilité.
Les derniers gadgets de suivi médical personnel ou trackers d’activité mettent à notre disposition des données sur de nombreux aspects de notre condition physique: déplacements, activité, entraînements, sommeil, fréquence cardiaque, nutrition et nombre de pas. De plus en plus souvent, ils s’accompagnent de nouvelles fonctionnalités interactives telles que blogs utilisateur et groupes que l’on peut rejoindre pour se mesurer les uns aux autres.
Pour l’auteur, qui a lui-même été un coureur passionné avant de devenir père de jumeaux, cette technologie est l’occasion de reprendre lentement l’entraînement en autonomie pour revenir à une vie saine et sportive.
Toutefois, le prix à payer pour partager et suivre ces innombrables données pourrait être lourd. Selon une équipe de recherche de l’Université d’Édimbourg, la protection de nos données personnelles pourrait être mise à mal. Elle révèle l’existence d’importantes failles de sécurité dans la façon dont les données personnelles sont enregistrées, communiquées et partagées, alors que pendant ce temps on les utilise sans arrière-pensée. Ces gadgets de suivi d’activités présentent des vulnérabilités qui pourraient être exploitées par des tiers pour leur propre avantage et à nos dépens.
En collaboration avec la Technische Universitat Darmstadt, en Allemagne, et l’Université de Padoue, en Italie, l’équipe de recherche de l’Université d’Édimbourg a procédé à une analyse approfondie de la sécurité, ainsi qu’à ses propres tests d’activité physique sur deux modèles courants de trackers d’activité fabriqués par Fitbit. Les résultats ont montré comment, dans les faits, il est possible de contourner le système chargé de protéger les données des appareils, appelé chiffrement de bout en bout. L’équipe a trouvé des moyens d’intercepter les messages transmis entre les trackers d’activité et les serveurs cloud, où les données sont envoyées pour analyse. Elle a ainsi pu accéder aux informations personnelles et créer de faux enregistrements d’activité. En fait, les chercheurs sont parvenus à contourner le système de chiffrement et à accéder aux données privées sensées être stockées et protégées en désassemblant les appareils et en modifiant les informations conservées en mémoire.
La suite sur Cordis