Les montres connectées peuvent servir à espionner leur utilisateur, en collectant à son insu des informations qui, après analyse, pourraient se transformer en données personnelles. Ces données, entre de mauvaises mains, peuvent permettre de surveiller les activités de l’utilisateur, notamment la saisie d’informations sensibles. C’est ce qui ressort d’une nouvelle étude de Kaspersky Lab consacrée à l’impact de la prolifération de l’Internet des objets (IoT) sur la vie quotidienne.
Ces dernières années, le secteur de la cybersécurité a démontré que les données privées des utilisateurs deviennent une marchandise de très grande valeur, pouvant donner lieu à des abus pratiquement sans limites, allant d’un profilage numérique de leurs victimes par des cybercriminels à des prévisions marketing sur le comportement des utilisateurs.
Cependant, tandis que les consommateurs sont de plus en plus paranoïaques quant à l’utilisation abusive de leurs informations personnelles, d’autres sources de menace, moins évidentes, demeurent sans protection. Par exemple, afin d’entretenir leur forme, nombre d’entre nous portons des bracelets connectés (fitness trackers) pour suivre nos exercices et activités sportives. Or cela pourrait avoir de graves conséquences.
Nous utilisons couramment des objets connectés, notamment des montres et autres bracelets, lors d’activités sportives pour surveiller notre état de santé et recevoir des alertes. Pour accomplir leurs principales fonctions, la plupart de ces appareils sont équipés de capteurs intégrés d’accélération (accéléromètres), souvent associés à des capteurs de rotation (gyroscopes), afin de compter le nombre de pas et de déterminer la position de l’utilisateur à un instant donné. Les experts de Kaspersky Lab ont examiné quelles informations ces capteurs pourraient communiquer à des tiers non autorisés et se sont intéressés de plus près aux montres connectées de plusieurs fabricants.
Pour étudier la question, les chercheurs ont développé une application relativement simple pour montre connectée, destinée à enregistrer les signaux des accéléromètres et gyroscopes intégrés. Les données collectées étaient alors sauvegardées dans la mémoire même de la montre ou bien transférées par Bluetooth au téléphone mobile associé.
Au moyen d’algorithmes mathématiques accessibles à la puissance de calcul de la montre connectée, il a été possible d’identifier des schémas comportementaux, les moments et les lieux où l’utilisateur se déplaçait, ou encore des durées. Le plus important est que cela a permis d’espionner des activités sensibles, telles que la saisie d’un mot de passe sur un ordinateur (avec une précision pouvant atteindre 96 %) ou d’un code sur un distributeur automatique (environ 87 %) ou un téléphone mobile verrouillé (environ 64 %).
