Publicité en cours de chargement...
Ma brosse à dents « m’a tuer »
04 juil. 2017 - 11:14,
Tribune - CHarles Blanc-Rolin
L’imagination (ou le ridicule, à vous de choisir) en matière d’objets connectés de santé n’a pas de limites. La brosse à dents connectée, pas vraiment nouvelle dans le secteur de l’IOT, embarque parfois aussi peu de sécurité qu’elle peut présenter d’intérêt pour son utilisateur, à moins que celui-ci soit hyper dépendant de son smartphone, au point de lui trouver encore une nouvelle utilité au sein de sa salle de bain.
Plus sérieusement, aux Etats-Unis, certains assureurs en santé bucco-dentaire, y voient par contre un réel intérêt : adapter la prime d’assurance en fonction de l’efficacité du brossage de dents de leurs assurés !
Même si en France, ce n’est pas encore possible, qui nous dit que cela ne pourrait pas arriver plus vite qu’on ne le pense ?
Le 9 juin dernier, lors du SSTIC, Madame Axelle Apvrille, chercheur chez Fortinet a réalisé une brillante démonstration de reverse engineering sur une brosse à dents connectée [1], montrant là encore, le profond désintérêt de nombreux fabricants d’objets connectés pour la sécurité numérique.
Au cours de ce POC (disponible en vidéo), elle a notamment démontré que :
- Aucune authentification n’est faite que ce soit côté appareil, que côté application
- Il est donc tout à fait possible d’interroger ou de prendre le contrôle de la brosse à dent depuis un ordinateur disposant d’une connexion Bluetooth Low Energy
- Il est également possible de se faire passer pour la brosse à dent et renvoyer les valeurs que l’on souhaite à l’application afin d’obtenir un score élevé et par conséquent payer sa mutuelle moins chère
- Le fabricant est totalement désintéressé par la sécurité de son produit, puisqu’à la révélation des failles qu’elle a pu découvrir, il lui a répondu en fermant son compte utilisateur
- Il serait facilement envisageable de pister un utilisateur lors d’un déplacement (voyage d’affaire, vacances…) grâce à son adresse mac, puisque la brosse à dent émet tant que les piles n’ont pas été retirées
Nous sommes d’accord que dans ce cas précis, cela ne représente pas un grand danger pour l’utilisateur, mais c’est tout de même très représentatif de la réalité technique et de l’état d’esprit de nombreux acteurs de l’IOT, et pire, de la e-santé !
[1] Le support de présentation au format PDF
La vidéo du POC : https://static.sstic.org/videos2017/SSTIC_2017-06-09_P08.mp4
Avez-vous apprécié ce contenu ?
A lire également.
Simplifier et sécuriser : l’IoT au cœur des enjeux de la e-santé
22 avril 2024 - 11:36,
Actualité
- Propos recueillis par Delphine GuilgotL’intérêt du secteur de la santé pour l'Internet des objets (IoT) et les technologies de transmission de données va croissant. Téléassistance, diagnostic précoce et prévention des complications, amélioration de l’observance, … les raisons sont nombreuses pour expliquer la demande. Fort de ses soluti...
Identitovigilance : comment Wizcare répond aux impératifs réglementaires tout en fluidifiant les parcours de soins
15 mai 2024 - 22:58,
Actualité
- DSIHWizcare est une plateforme modulaire de solutions e-santé, conçue par Innovation&trust, la digital factory de Tessi, afin de digitaliser de bout en bout les parcours de soins. À la différence des autres offres du marché, elle intègre aussi des services de confiance numérique éprouvés. Nizar Bakir, d...
Focus secteur : IT, Systèmes d'information, e-Santé
16 avril 2024 - 12:18,
Communiqué
- SantExpoLes systèmes d'information des établissements de santé et médico-sociaux sont de plus en plus connectés, interfacés, mutualisés et ouverts. L'informatisation de tous les processus de production des soins (prescription, dispensation, administration), est au coeur de la sécurité et de la qualité des s...
Plus de garanties pour la carte e-CPS
14 juin 2022 - 11:42,
Actualité
- DSIHAu début du mois, l’ANS a annoncé qu’un niveau de garantie supplémentaire serait franchi le 21 juin pour la carte e-CPS : un code dynamique à valider à chaque nouvelle authentification.
