montres connectées sont à l'avant-garde du marché des objets connectés qui doivent occuper sous peu une place de choix dans notre quotidien mais, étude après étude, les insuffisances concernant leur sécurisation, se révèlent criantes.
Le marché est jeune et la sécurisation de ces gadgets n'est pas encore un critère essentiel dans leur conception. Pourtant, comme le montrent déjà des exemples dans d'autres domaines comme l'automobile connectée, elle peut avoir des conséquences significatives.
L'étude réalisée par HP Fortify sur 10 modèles de montres connectées révèle que la totalité des smartwatches présente des vulnérabilités qui pourraient faire l'objet de cyberattaques et de vol de données, alors même qu'elles sont censés détenir des données personnelles.
Par ces insuffisances, l'étude met en avant la faiblesse des mécanismes d'authentification qui ne limitent pas par exemple le nombre d'essais lors de la saisie d'un mot de passe et restent sensibles aux techniques de moissons de compte.
Le défaut de chiffrement lors du transfert des données est aussi une faiblesse fréquente des montres connectées, tandis que les interfaces Web laissent un peu trop facilement filtrer les comptes utilisateur, ce qui peut permettre à des hackers de les cibler pour en prendre le contrôle.
L'étude de HP Fortify met aussi en avant dans certains cas des mises à jour des plates-formes logicielles dans les montres transmises sans chiffrement, ouvrant la voie à la possibilité de transmissions de mises à jour vérolées.
Enfin, la protection trop faible des données personnelles est de nouveau pointée du doigt dans les montres connectées, avec une collecte trop facile d'éléments qui peuvent être aussi des données de santé (âge, taille, poids, sexe, fréquence cardiaque...).
HP recommande donc une certaine prudence et un peu de circonspection dans l'utilisation des montres connectées, que ce soit en activant un système de mots de passe (en évitant les poncifs du genre "1234" ou "motdepasse") ou en restreignant les accès à des canaux de confiance pour éviter d'attirer l'attention sur les comptes utilisateur.