Actualités de la sécurité

Les appareils de fitness connectés constituent un risque potentiel

Vladislav Iliushin, 12 avril 2021

Cependant, les sportifs comme vous et moi qui s'entraînent à la maison ne sont généralement pas des cibles lucratives.

Depuis l'arrivée de la pandémie, de nombreuses personnes font de l'exercice dans leur propre salon pour rester en forme. Le sport à domicile est en plein essor et les offres de matériel connecté ne manquent pas. Parmi les tapis de course, les cross trainers, les vélos d'intérieur, les rameurs et les home trainers portant le label "smart", ceux qui proposent des expériences multimédia en plus de l'effet d'entraînement et des statistiques de réussite sur l'écran se distinguent.
Le fabricant américain Peloton joue déjà dans la Ligue des champions mondiale avec son ergomètre high-tech. L'un des principaux utilisateurs est le président américain Joe Biden, qui emprunte des pistes cyclables virtuelles à la Maison Blanche. Son vélo de fitness offre la possibilité de participer à des cours en direct avec d'autres personnes et d'interagir avec elles via l'écran. Des experts en sécurité ont soulevé dans le New York Times des préoccupations qui méritent d'être réexaminées - y compris pour en tirer des conclusions pour les utilisateurs réguliers*. Après tout, ils se posent la question suivante : quelle est la sécurité de mon appareil de fitness intelligent ?

Un appareil doté d'une caméra, d'un microphone et d'une connexion Internet présente un risque pour la sécurité

Dans le New York Times, Richard H. Ledgett Jr, ancien directeur adjoint de l'Agence nationale de sécurité américaine (NSA), critique le sport du président. Il s'inquiète du fait que Joe Biden puisse communiquer avec d'autres utilisateurs tout en faisant de l'exercice. Cela pose, selon lui, le risque d'une attaque de pirates informatiques qui pourraient espionner la Maison Blanche via une faille de sécurité.

L'expert en renseignement a raison de dire que tout appareil doté d'une caméra, d'un microphone et d'une connexion Internet constitue potentiellement un risque pour la sécurité. Comme pour les autres appareils en réseau, il existe de nombreux points d'entrée. Une maison intelligente non sécurisée invite à rechercher des failles dans le routeur, le réseau ou le dispositif, par exemple. Les pirates pourraient également s'intéresser aux données de santé que les appareils intelligents enregistrent sur les activités de loisirs du président américain. Les connaissances sur l'état de santé des hommes politiques et des célébrités pourraient être capitalisées.


Les sportifs comme vous et moi ne sont pas des cibles lucratives

Un tel risque de sécurité est moins susceptible d'exister pour un utilisateur normal. Les athlètes amateurs peuvent difficilement faire l'objet d'un chantage avec le rythme cardiaque que quelqu'un a capturé. En outre, l'internet est encore trop lent dans de nombreux endroits pour que les cybercriminels puissent détourner les caméras et les microphones à grande échelle. L'effort serait tout simplement trop important. À cela s'ajoutent les coûts élevés de l'espace de stockage des données captées qui doivent être analysées. Cependant, la technologie deviendra moins chère dans les prochaines années et peut-être plus efficace à mettre en œuvre avec l'intelligence artificielle. Par conséquent, à un moment donné, le modèle commercial des pirates qui utilisent des algorithmes d'apprentissage automatique formés à la reconnaissance faciale pour passer spécifiquement au crible les données de masse volées par les caméras à la recherche de personnes intéressantes pourrait fonctionner. Les utilisateurs devraient déjà réfléchir aux données que le dispositif d'entraînement collecte et à ceux avec qui il les partage. En cas de doute, il vaut mieux demander au fournisseur.


Danger similaire aux autres objets connectés de votre maison

La pratique criminelle consiste à attaquer le plus grand nombre de cibles possible avec le moins d'efforts possible. Pour y parvenir, les pirates de l'environnement de la maison intelligente utilisent principalement trois méthodes. Ceux qui utilisent les ransomwares tentent d'infiltrer le cheval de Troie de chantage via une vulnérabilité, de prendre le contrôle de l'appareil intelligent et d'exiger une rançon. Dans la deuxième approche, les pirates accèdent via le matériel utilisé pour miner illégalement des crypto-monnaies. La troisième approche concerne les dispositifs en réseau qui ne sont pas sécurisés. Si les cybercriminels parviennent à prendre le contrôle d'un grand nombre de ces compagnons d'entraînement intelligents, ils peuvent les utiliser pour une attaque DDoS. Dans ce scénario, le groupe d'appareils bombarde un site web de millions de requêtes, ce qui entraîne une surcharge totale du serveur et sa défaillance. Il n'existe pas encore de preuve que les dispositifs de fitness ont été utilisés de manière abusive de ces trois façons.

Appliquez les règles suivantes pour une meilleure protection

Les utilisateurs de dispositifs de fitness intelligents ont tout intérêt à suivre les règles suivantes : cela commence par la modification des paramètres par défaut du routeur, c'est-à-dire la définition d'un mot de passe individuel pour la connexion et la gestion. Le cryptage WLAN est important, tout comme la mise à jour (automatique) du micrologiciel du routeur. Le cryptage des données, par exemple via une connexion VPN sécurisée, renforce la sécurité du réseau. L'installation des mises à jour de sécurité dès qu'elles sont publiées protège le dispositif intelligent. Si vous voulez le plus haut niveau de sécurité, faites fonctionner votre appareil de fitness sur un réseau séparé. Richard H. Ledgett Jr., ancien cadre de la NSA, n'a pas toujours voulu aller aussi loin. Sa principale exigence était de retirer la caméra et le microphone du vélo de fitness de Joe Biden afin d'exclure toute tentative d'écoute.


Suivez nous sur Facebook et Twitter !

NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.