La sécurité de la trottinette électrique Xiaomi M365 est largement remise en cause ces derniers temps. Le module Bluetooth utilisé semble être aussi sécurisé qu’un paquet de bonbons posé au milieu d’une cour de récré. La marque a choisi des composants standardisés et les a intégrés dans son engin sans trop se poser de questions sur une éventuelle intrusion externe.
Premiers à en souffrir, les entreprises qui se sont basées sur la M365 pour leur flotte de véhicules en location libre comme Bird. Leur système de sécurité qui permet de bloquer les trottinettes à distance pour éviter que quelqu’un s’en serve sans payer est basé sur une pièce détachée disponible légalement en ligne. Une simple carte qui peut se remplacer et qui ne coûte que 30$. Rien de sorcier, il suffit de dévisser le composant de la trottinette protégée et de le remplacer par le modèle d’origine de Xiaomi et vous désactivez toute la protection antivol… Après un petit coup de bombe sur la potence vous avez un modèle très classique. C’est un peu comme si le fabricant d’un coffre fort avait mis des vis apparentes sur les charnières de la porte.
L’étiquette d’une Bird montre qu’il s’agit ni plus ni moins que d’une Xiaomi M365 commerciale
Evidemment, des petits malins ont bien compris qu’ils pouvaient gagner de l’argent légalement en surfant sur ce petit détail technique et ont donc commencé à commercialiser des kits sur Ebay. L’économie faite en amont en choisissant de ne faire que la reprogrammation du module d’origine pour lui ajouter des fonctions de protection s’est donc retourné contre eux. Les trottinettes en libre service Xiaomi M365 sont devenues d’un coup des cibles faciles.
Mais les dernières nouvelles sont pires. Les modules Bluetooth intégrés dans toutes ces trottinettes sont également facilement accessibles à distance. Via leur module Bluetooth intégré. Leur succès commercial a probablement incité certains chercheurs en sécurité à essayer de pénétrer le module. C’est le cas de l’équipe de Zimperium qui explique sur son blog comment il a procédé. Il s’avère que la gestion du mot de passe n’est pas nécessaire à l’emploi des différentes fonctionnalités de l’engin. Par conséquent, en envoyant l’ordre directement à la trottinette via Bluetooth, il est possible de la piloter. Enclencher son système antivol, son frein ou encore la faire accélérer.
Prévenu, Xiaomi s’est borné indiqué être déjà au courant mais ne semble pas avoir annoncé une éventuelle mise à jour pour corriger le problème. Le risque est assez faible pour un particulier de se retrouver face à une trottinette qui serait piratée à distance par un malandrin, l’intérêt est assez limité et la période pour prendre en main le véhicule pendant son passage est assez court. Il est tout de même existant et la vidéo précise que bloquer à distance le système de protection de la trotinette pourrait avoir des effets graves.
Ouvrez ouvrez la cage aux Bird
Il est également fort possible qu’un utilisateur développe une application qui débloquerait en quelques instants une trottinette de son mode antivol. Un cauchemar pour les propriétaires de flotte de location de ces engins puisque au lieu de passer par leur application pour se mettre à utiliser la Xiaomi M365, il serait tout aussi facile de débloquer sa protection.
Si on met les deux infos en perspective, rien n’empêche plus une personne de se servir dans la rue et d’emprunter une Bird, de rentrer chez lui avec la trottinette sans débourser un centime avant de changer la petite pièce électronique qui désactivera totalement sa protection et son suivi…
Faites découvrir Minimachines en le partageant
2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Et c’est le cas de pratiquement tous les objets « intelligents » ou on prefere mettre l’argent dans des noms shoopinoo et des voyages a Las Vegas plutot que dans la securite. Constat vu dans plusieurs confs de securite informatique.
Il s’agit plus d’une négligence de Bird que de Xiaomi puisque ce sont des trottinettes de série à peine modifiées…
@redrag: As-tu lu la 2e partie de l’article ? Toutes les M365 sont victimes d’un tout petit détail : n’importe qui peut s’y connecter et faire joujou avec le bouzing.
@gUI: oui j’ai lu et comme indiqué, le risque reste minime, un particulier ne va pas laisser sa trottinette n’importe où.
bs, c’est chiant et particulièrement gênant
le bluetooth on s’en sert pas enfin moi non, j’aimerais bien le désactiver.
pour une Serrure AlFAWISE E202 (https://www.gearbest.com/smart-home-controls/pp_009482321475.html?wid=1433363#goodsDetail) peut on être sur que la sécurité numérique est au rendez vous ?
Content de voir que tu as repris mon message d’hier Pierre. J’étais sur Paris ce matin, je n’ai pu m’empêcher de tester (sur une trottinette à l’arrêt bien sûr) et je confirme que l’exploit fonctionne tel quel
@sylvaind: hello, sécurité et objet connecté sont souvent incompatibles. Par exemple un article de Pierre concernant un cadenas « intelligent » piratable : https://www.minimachines.net/geektoyz/tapplock-le-gadget-numerique-et-lillusion-du-progres-66128
Ce que j’en pense (n’étant aucunement expert en sécu ou serrure), c’est que c’est une question de temps. Si le cambrioleur a assez de temps pour déchiffrer/reprogrammer la clé de chiffrement, ça s’ouvre sans effraction. Au moins, avec un système mécanique, t’as la preuve que quelqu’un a forcé la porte.
Qu’on n’hésite pas à confirmer/infirmer mes propos.
@Kriss: Vous êtes pas mal a m’avoir envoyé l’info. Par contre tu es le seul à ma connaissance à avoir testé :O
J’ai au moins une fois par jour ce dicton en tête :
Dans IOT le S est pour Security…
@n0n0n4t0r: :D (connaissais pas)
@prog-amateur: Oui et non. Ça dépend de la fréquence des mises à jour de sécurité : par le fabricant pour la mise à disposition, et pour le possesseur pour l’installation. Donc, dans la pratique, c’est effectivement une question de temps.
C’est très différent avec une serrure physique qui est tout de suite une vraie passoire. Du moins pour les modèles courants. Il est amusant de constater que l’on usine des coques de smartphone au micron près mais que l’on se refuse à faire de même pour une serrure. Pourtant un déjà vieil article de Science & Vie expliquait qu’avec une telle précision, la plupart des outils de crochetage deviennent inopérants, même sur une simple clé plate. Mais c’est plus rentable de réserver ce genre de fabrication aux serrures haut de gamme.
À noter que de toute façon les architectes prennent peu en considération le facteur sécurité. Combien de portes sont placées à proximité d’un angle ou d’un pilier porteur ? Un simple cric de camion peut alors faire sauter la porte de ses gonds. Serrure blindée ou non… Seule la discrétion nécessaire au cambriolage sauve alors.
@Kikimoo: oui le facteur dissuasion est un paramètre important dans la sécurité contre le cambriolage. Si ça fait trop de bruit, ou si ça prend trop de temps, le cambrioleur ne se risque pas de rester à découvert.
Voici un forum de serruriers/amateurs de serrureries que j’avais découvert quand je voulais faire ma porte. Il y a des connaisseurs, et je l’ai trouvé enrichissant : https://forum.serrurerie.info/