La trottinette électrique Xiaomi M365 est une passoire

Et c’est pas gentil pour les passoires. La sécurité des Xiaomi M365 semble n’avoir été qu’un petit détail annexe dans le développement du produit. Manque de bol, avec son succès planétaire et ses centaines de milliers de modèles vendus, cela n’est plus si anecdotique.

La sécurité de la trottinette électrique Xiaomi M365 est largement remise en cause ces derniers temps. Le module Bluetooth utilisé semble être aussi sécurisé qu’un paquet de bonbons posé au milieu d’une cour de récré. La marque a choisi des composants standardisés et les a intégrés dans son engin sans trop se poser de questions sur une éventuelle intrusion externe.

2019-02-13 18_36_23-minimachines.net

Premiers à en souffrir, les entreprises qui se sont basées sur la M365 pour leur flotte de véhicules en location libre comme Bird. Leur système de sécurité qui permet de bloquer les trottinettes à distance pour éviter que quelqu’un s’en serve sans payer est basé sur une pièce détachée disponible légalement en ligne. Une simple carte qui peut se remplacer et qui ne coûte que 30$. Rien de sorcier, il suffit de dévisser le composant de la trottinette protégée et de le remplacer par le modèle d’origine de Xiaomi et vous désactivez toute la protection antivol… Après un petit coup de bombe sur la potence vous avez un modèle très classique. C’est un peu comme si le fabricant d’un coffre fort  avait mis des vis apparentes sur les charnières de la porte.

2019-02-13 18_28_59-minimachines.net

L’étiquette d’une Bird montre qu’il s’agit ni plus ni moins que d’une Xiaomi M365 commerciale

Evidemment, des petits malins ont bien compris qu’ils pouvaient gagner de l’argent légalement en surfant sur ce petit détail technique et ont donc commencé à commercialiser des kits sur Ebay. L’économie faite en amont en choisissant de ne faire que la reprogrammation du module d’origine pour lui ajouter des fonctions de protection s’est donc retourné contre eux. Les trottinettes en libre service Xiaomi M365 sont devenues d’un coup des cibles faciles.

Mais les dernières nouvelles sont pires. Les modules Bluetooth intégrés dans toutes ces trottinettes sont également facilement accessibles à distance. Via leur module Bluetooth intégré. Leur succès commercial a probablement incité certains chercheurs en sécurité à essayer de pénétrer le module. C’est le cas de l’équipe de Zimperium qui explique sur son blog comment il a procédé. Il s’avère que la gestion du mot de passe n’est pas nécessaire à l’emploi des différentes fonctionnalités de l’engin. Par conséquent, en envoyant l’ordre directement à la trottinette via Bluetooth, il est possible de la piloter. Enclencher son système antivol, son frein ou encore la faire accélérer.

Prévenu, Xiaomi s’est borné indiqué être déjà au courant mais ne semble pas avoir annoncé une éventuelle mise à jour pour corriger le problème. Le risque est assez faible pour un particulier de se retrouver face à une trottinette qui serait piratée à distance par un malandrin, l’intérêt est assez limité et la période pour prendre en main le véhicule pendant son passage est assez court. Il est tout de même existant et la vidéo précise que bloquer à distance le système de protection de la trotinette pourrait avoir des effets graves.

2019-02-13 18_33_31-minimachines.net

Ouvrez ouvrez la cage aux Bird

Il est également fort possible qu’un utilisateur développe une application qui débloquerait en quelques instants une trottinette de son mode antivol. Un cauchemar pour les propriétaires de flotte de location de ces engins puisque au lieu de passer par leur application pour se mettre à utiliser la Xiaomi M365, il serait tout aussi facile de débloquer sa protection.

Si on met les deux infos en perspective, rien n’empêche plus une personne de se servir dans la rue et d’emprunter une Bird, de rentrer chez lui avec la trottinette sans débourser un centime avant de changer la petite pièce électronique qui désactivera totalement sa protection et son suivi…


Soutenez Minimachines.net !
13 commentaires sur ce sujet.
  • to
    13 février 2019 - 19 h 22 min

    Et c’est le cas de pratiquement tous les objets “intelligents” ou on prefere mettre l’argent dans des noms shoopinoo et des voyages a Las Vegas plutot que dans la securite. Constat vu dans plusieurs confs de securite informatique.

    Répondre
  • 13 février 2019 - 19 h 51 min

    Il s’agit plus d’une négligence de Bird que de Xiaomi puisque ce sont des trottinettes de série à peine modifiées…

    Répondre
  • gUI
    13 février 2019 - 22 h 01 min

    @redrag: As-tu lu la 2e partie de l’article ? Toutes les M365 sont victimes d’un tout petit détail : n’importe qui peut s’y connecter et faire joujou avec le bouzing.

    Répondre
  • 13 février 2019 - 22 h 48 min

    @gUI: oui j’ai lu et comme indiqué, le risque reste minime, un particulier ne va pas laisser sa trottinette n’importe où.

    Répondre
  • 14 février 2019 - 0 h 36 min

    bs, c’est chiant et particulièrement gênant

    le bluetooth on s’en sert pas enfin moi non, j’aimerais bien le désactiver.

    Répondre
  • 14 février 2019 - 8 h 57 min
  • 14 février 2019 - 14 h 06 min

    Content de voir que tu as repris mon message d’hier Pierre. J’étais sur Paris ce matin, je n’ai pu m’empêcher de tester (sur une trottinette à l’arrêt bien sûr) et je confirme que l’exploit fonctionne tel quel

    Répondre
  • 14 février 2019 - 14 h 18 min

    @sylvaind: hello, sécurité et objet connecté sont souvent incompatibles. Par exemple un article de Pierre concernant un cadenas “intelligent” piratable : https://www.minimachines.net/geektoyz/tapplock-le-gadget-numerique-et-lillusion-du-progres-66128

    Ce que j’en pense (n’étant aucunement expert en sécu ou serrure), c’est que c’est une question de temps. Si le cambrioleur a assez de temps pour déchiffrer/reprogrammer la clé de chiffrement, ça s’ouvre sans effraction. Au moins, avec un système mécanique, t’as la preuve que quelqu’un a forcé la porte.

    Qu’on n’hésite pas à confirmer/infirmer mes propos.

    Répondre
  • 14 février 2019 - 14 h 23 min

    @Kriss: Vous êtes pas mal a m’avoir envoyé l’info. Par contre tu es le seul à ma connaissance à avoir testé :O

    Répondre
  • 14 février 2019 - 21 h 24 min

    J’ai au moins une fois par jour ce dicton en tête :
    Dans IOT le S est pour Security…

    Répondre
  • 15 février 2019 - 6 h 32 min
  • 15 février 2019 - 6 h 44 min

    @prog-amateur: Oui et non. Ça dépend de la fréquence des mises à jour de sécurité : par le fabricant pour la mise à disposition, et pour le possesseur pour l’installation. Donc, dans la pratique, c’est effectivement une question de temps.

    C’est très différent avec une serrure physique qui est tout de suite une vraie passoire. Du moins pour les modèles courants. Il est amusant de constater que l’on usine des coques de smartphone au micron près mais que l’on se refuse à faire de même pour une serrure. Pourtant un déjà vieil article de Science & Vie expliquait qu’avec une telle précision, la plupart des outils de crochetage deviennent inopérants, même sur une simple clé plate. Mais c’est plus rentable de réserver ce genre de fabrication aux serrures haut de gamme.

    À noter que de toute façon les architectes prennent peu en considération le facteur sécurité. Combien de portes sont placées à proximité d’un angle ou d’un pilier porteur ? Un simple cric de camion peut alors faire sauter la porte de ses gonds. Serrure blindée ou non… Seule la discrétion nécessaire au cambriolage sauve alors.

    Répondre
  • 15 février 2019 - 17 h 44 min

    @Kikimoo: oui le facteur dissuasion est un paramètre important dans la sécurité contre le cambriolage. Si ça fait trop de bruit, ou si ça prend trop de temps, le cambrioleur ne se risque pas de rester à découvert.

    Voici un forum de serruriers/amateurs de serrureries que j’avais découvert quand je voulais faire ma porte. Il y a des connaisseurs, et je l’ai trouvé enrichissant : https://forum.serrurerie.info/

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *