IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Comment suivre vos enfants (et ceux des autres) avec la montre connectée TicTocTrack ?


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut Comment suivre vos enfants (et ceux des autres) avec la montre connectée TicTocTrack ?
    Comment suivre à distance vos enfants (et ceux des autres) avec la montre connectée TicTocTrack ?

    TicTocTrack est une montre de surveillance des personnes et en particulier des enfants dont la conception repose sur un système du même nom selon ses concepteurs. La montre dispose d’une multitude de fonctions qui permettent d’assurer un contact permanent entre le porteur de la montre et les numéros de téléphone portable qui lui sont associés. Si certains jugent la montre très utile pour avoir un œil permanent sur les enfants, d’autres la voient comme un nouveau gadget de l’IoT pour perturber et augmenter les risques liés à la vie privée des gens.

    Dans le monde d’aujourd’hui, les objets connectés ont fait leur preuve surtout dans le contexte de la “Smart Home” ou la “Maison connectée”. Ces dispositifs sont utilisés par les propriétaires de maison pour sécuriser leurs maisons (caméras de surveillance connectées, thermostat connecté, etc.) ou pour anticiper les pannes d’équipements ou les fuites de gaz, etc. Seulement, le problème qui revient en boucle, c’est celui de la protection des millions de gigas de données que recueillent ces équipements. Dans ce cas, « l’IoT fait peur », déclarent certaines personnes. Le problème de la sécurité des données semble être le plus grand défi de l’IoT et les incidents de piratage de données ou encore de fuites de données sont multiples.

    Que ce soit le piratage des caméras Nest de Nest Labs, une filiale de Google ou le piratage d’un thermostat connecté qui a permis à des pirates de dérober environ 10 Go de données ou encore les portes des bureaux de la succursale de Google à Sunnyvale (une ville californienne) dont un employé a pris le contrôle aisément grâce aux objets connectés intégrés au système, les exemples ne manquent pas. C’est probablement à cause de toutes ces raisons que l’idée de confectionner une montre pour suivre quelqu’un à la trace répugne beaucoup de personnes.


    Dans le cas de la montre TicTocTrack, ses multiples fonctionnalités permettent à son propriétaire d’être localisé à n’importe quel moment. Particulièrement conçu pour suivre les enfants à la trace, TicTocTrack met à jour la position de son porteur toutes les six minutes en combinant les données satellitaires du GPS et de Google Maps. Il permet de délimiter une zone de couverture et d'avertir lorsque la zone a été enfreinte et peut être liée jusqu’à six numéros de téléphone portable, une surveillance qui va au-delà des frontières du pays selon l’entreprise éditrice. « Notre plateforme logicielle conçue en Australie vous permet de surveiller sur votre enfant n’importe où dans le monde. Les excursions à l'étranger peuvent être stressantes, mais avec TicTocTrack, vous pouvez toujours les surveiller depuis le confort de votre maison », ont-ils déclaré.

    Cependant, la technologie de la montre souligne des inquiétudes majeures. Que se passera-t-il lorsque quelqu’un prendra le contrôle de la montre en dehors des numéros de téléphone portables qui lui sont liés ? Troy Hunt souligne des incidents liés à ce type de dispositif qui ont lieu en Norvège, notamment des failles de sécurité dans les montres Gator et Xplora. Ces défauts, écrit-il, incluaient la capacité pour un étranger de prendre le contrôle de la montre et de le suivre, d'écouter et de communiquer avec l'enfant qui le porte et de lui faire savoir qu’il est quelque part où il ne devrait pas être. Ces problèmes (entre autres) ont amené le directeur de la politique numérique en Norvège à conclure que : « ces montres n'ont pas de place sur l'étagère d'un magasin, encore moins sur le poignet d'un enfant ».

    Un des problèmes critiques de ces montres concerne le stockage des messages. En effet, il a été souligné dans les pays comme les États-Unis ou l’Allemagne que ces montres stockent les messages vocaux des parents et des enfants sur des serveurs Web ouverts ou non protégés. « En Allemagne, on a demandé aux parents de détruire les montres intelligentes qu'ils ont achetées pour leurs enfants après que le régulateur des télécommunications du pays ait mis en place une interdiction générale pour empêcher la vente de ces appareils, en raison de préoccupations croissantes en matière de protection de la vie privée », a rappelé Troy Hunt. Au fur et à mesure que les scientifiques creusent, le nombre de problèmes liés à la protection de la vie privée qu’ils rencontrent grandit.

    Nom : z1.png
Affichages : 5690
Taille : 281,2 Ko

    De plus, il rapporte que la montre australienne TicTocTrack présente également des problèmes d'insécurité liés à la référence directe aux objets appelés IDOR (Insecure Direct Object Reference). Une vulnérabilité IDOR se produit lorsqu'une application offre un accès direct à des objets en fonction de l'entrée fournie par l'utilisateur. En raison de cette vulnérabilité, les attaquants peuvent contourner les autorisations et accéder directement aux ressources du système. Il peut y avoir de nombreuses variables dans l'application telles que “ID”, “PID”, “UID”. Bien que ces valeurs soient souvent considérées comme des paramètres HTTP, elles peuvent être trouvées dans les en-têtes et les cookies. L'attaquant peut accéder, modifier ou supprimer tous les objets des autres utilisateurs en modifiant les valeurs.

    Selon lui, il s’agirait des mêmes montres chinoises Gator qui, autrefois, ont fait l'objet de critiques et d'interdiction de vente en Allemagne et ailleurs à cause des nombreuses failles de sécurités qu’elles présentaient. Dans ses tests sur la montre TicTocTrack, il énumère les faits selon lesquels le dispositif n’est pas nouveau, mais plutôt d’un remodelage de la montre chinoise Gator et qu'en plus, les données enregistrées par la montre ne sont pas essentiellement stockées dans le pays australien. Ensuite, il fait savoir que l’application destinée au suivi permanent est un site Web localisé sur un serveur d’hébergement différent de celui du stockage et encore dans un état différent.

    Après cela, il explique que la montre peut être facilement piratée. En effet, avec l’aide d’autres personnes, ils ont pu modifier très facilement les données de localisation d’une montre TictocTrack qu’il a mise au poignet de sa fille pour la situer dans la mer alors qu’elle était censée être sur un court de tennis. Ils ont pu réaliser cet exploit en exploitant une vulnérabilité non sécurisée dans l’API de TicTocTrack, une chose qu’il juge très dangereuse. La position d’un enfant qui porte la montre peut être modifiée au gré. À en croire ses propos, la montre pourrait servir pour un kidnapping. « Ce n'est pas simplement le fait de faire apparaître l'enfant de quelqu'un dans un endroit différent de celui auquel les parents s'attendent qui intrigue le plus. Vous pouvez également le faire apparaître exactement là où les parents s'attendent, alors qu'il est loin de là », a-t-il fait savoir.

    L’autre risque qu’il a souligné est celui lié aux enregistrements vocaux. Il estime que ceci, à son tour, introduit un risque beaucoup plus effrayant : des parties inconnues peuvent parler à vos enfants. Un parent peut appeler l'appareil et le faire répondre automatiquement sans interaction de la part de l'enfant. Ainsi, selon ses démonstrations, il a montré qu’un individu tiers peut s’introduire dans le système de la montre d’un enfant, s’ajouter en tant que parent de ce dernier et discuter avec lui. Il s’agit là probablement de l’une des failles critiques du système qui ont poussé certains gouvernements à interdire la vente de ces dispositifs connectés.

    La question est : avec les nombreuses failles de sécurité soulignées ci-dessus, êtes-vous prêts à faire suivre vos enfants à l’aide d’un tel dispositif ? La montre présente, selon certains, des failles de sécurité grave qui pourraient porter atteinte à la vie privée de ses utilisateurs ou encore plus grave, un individu mal intentionné et bien avisé sur ces failles peut les utiliser pour organiser l’enlèvement d’un enfant, récolter des données sur la famille concernée, leur faire du chantage, etc.

    Source : Billet de blog

    Et vous ?

    Qu'en pensez-vous ?
    Comment pourrait-on sécuriser un tel dispositif de localisation, selon vous ?

    Voir aussi

    Un employé de Google pirate les portes de bureaux de l'entreprise pour l'avertir des vulnérabilités des dispositifs de l'IoT intégrés à ses systèmes

    IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino et extirper 10 Go de data

    Un hacker pirate des caméras de surveillance pour parler à un bébé, la sécurité des objets connectés est-elle remise en cause ?"
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 409
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 409
    Points : 4 713
    Points
    4 713
    Par défaut
    Quelle glorieuse époque! Je me demande toujours comment nos ainés faisaient auparavant!

  3. #3
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 447
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 447
    Points : 4 587
    Points
    4 587
    Par défaut
    en cas de danger, ils allumaient un feu, et envoyaient des signaux de fumee ^^
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  4. #4
    Membre habitué
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juin 2012
    Messages
    80
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2012
    Messages : 80
    Points : 163
    Points
    163
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    Quelle glorieuse époque! Je me demande toujours comment nos ainés faisaient auparavant!
    Ils attendaient l'appel de la police, une demande de rançon ou juste que je rentre en angoissant pendant des heures.

  5. #5
    Membre actif
    Avatar de gerard093
    Homme Profil pro
    data scientist
    Inscrit en
    Mai 2012
    Messages
    72
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : data scientist
    Secteur : Service public

    Informations forums :
    Inscription : Mai 2012
    Messages : 72
    Points : 235
    Points
    235
    Billets dans le blog
    7
    Par défaut sécurisation
    La sécurisation d'équipements est toujours possible. Il est possible de se fournir une liste d'équipements certifiés sur le site de l'ANSSI.

    Les objets connectés, en provenance de chine, sont souvent sur la sellette. Le problème chinois est que le cryptage des données est interdit sur le net (pour les chinois) - et c'est de là que viennent les problèmes de sécurité évoqués plus haut !

    Bon ... des erreurs de jeunesse ...

    Je recommande au passage le MOOC gratuit de secnum académie sponsorisé par l'ANSSI.

Discussions similaires

  1. Google : une montre connectée « dans les prochains mois » ?
    Par Stéphane le calme dans le forum Actualités
    Réponses: 14
    Dernier message: 21/01/2019, 23h00
  2. Réponses: 25
    Dernier message: 13/09/2017, 18h49
  3. Réponses: 8
    Dernier message: 17/04/2011, 21h33
  4. Réponses: 1
    Dernier message: 11/02/2008, 18h03
  5. Réponses: 3
    Dernier message: 02/03/2006, 14h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo