Tendances scientifiques: Les trackers d''activité et les problèmes de sécurité des données

Les derniers gadgets de suivi médical personnel ou trackers d''activité mettent à notre disposition des données sur de nombreux aspects de notre condition physique: déplacements, activité, entraînements, sommeil, fréquence cardiaque, nutrition et nombre de pas. De plus en plus souvent, ils s''accompagnent de nouvelles fonctionnalités interactives telles que blogs utilisateur et groupes que l''on peut rejoindre pour se mesurer les uns aux autres. Pour l''auteur, qui a lui-même été un coureur passionné avant de devenir père de jumeaux, cette technologie est l''occasion de reprendre lentement l''entraînement en autonomie pour revenir à une vie saine et sportive.

Toutefois, le prix à payer pour partager et suivre ces innombrables données pourrait être lourd. Selon une équipe de recherche de l''Université d''Édimbourg, la protection de nos données personnelles pourrait être mise à mal. Elle révèle l''existence d''importantes failles de sécurité dans la façon dont les données personnelles sont enregistrées, communiquées et partagées, alors que pendant ce temps on les utilise sans arrière-pensée. Ces gadgets de suivi d''activités présentent des vulnérabilités qui pourraient être exploitées par des tiers pour leur propre avantage et à nos dépens.

En collaboration avec la Technische Universitat Darmstadt, en Allemagne, et l''Université de Padoue, en Italie, l''équipe de recherche de l''Université d''Édimbourg a procédé à une analyse approfondie de la sécurité, ainsi qu''à ses propres tests d''activité physique sur deux modèles courants de trackers d''activité fabriqués par Fitbit. Les résultats ont montré comment, dans les faits, il est possible de contourner le système chargé de protéger les données des appareils, appelé chiffrement de bout en bout. L''équipe a trouvé des moyens d''intercepter les messages transmis entre les trackers d''activité et les serveurs cloud, où les données sont envoyées pour analyse. Elle a ainsi pu accéder aux informations personnelles et créer de faux enregistrements d''activité. En fait, les chercheurs sont parvenus à contourner le système de chiffrement et à accéder aux données privées sensées être stockées et protégées en désassemblant les appareils et en modifiant les informations conservées en mémoire.

Cela veut donc dire que les données des utilisateurs pourraient être vendues, utilisées à des fins d''extorsion et manipulées si ces faiblesses venaient à être utilisées à mauvais escient. À titre d''exemple, les données communiquées aux agences marketing et boutiques en ligne pourraient permettre à des escrocs de fournir de faux dossiers médicaux pour bénéficier d''une couverture médicale moins chère récompensant les personnes menant une vie saine et exerçant une activité physique.

Comme le souligne le Dr Paul Patras, de l''École d''informatique de l''Université d''Édimbourg, «nos travaux montrent que les mesures de sécurité et de protection de la vie privée utilisées dans les appareils portables du commerce continuent d''avoir un temps de retard sur les nouveaux développements technologiques.» Le Dr Patras a aussi participé au projet FLAVIA (2010-2013), financé par l''UE, qui a souligné l''importance de mettre continuellement à niveau les opérations de réseau sans fil.

Pour que les données personnelles des utilisateurs restent confidentielles et protégées, les chercheurs communiquent maintenant d''importants conseils pour aider les fabricants à supprimer les failles de leurs futurs gadgets et applis en matière de données afin qu''ils soient à l''abri de tout risque d''attaque.

En réponse à ces résultats, Fitbit est en train de concevoir un logiciel destiné à renforcer la confidentialité et la sécurité de ses appareils.

«Nous nous félicitons de la réactivité de Fitbit suite à nos découvertes, de son professionnalisme dans la prise en compte des vulnérabilités identifiées et de la rapidité avec laquelle l''entreprise a amélioré les services concernés», indique le Dr Patras.

Seul le temps nous dira si les trackers d''activité sont suffisamment performants et entraînés pour rester à l''abri des dernières menaces et s''ils se surpasseront pour assurer une protection saine des données.