L’entreprise chinoise 3G Electronics a été contrainte par Pen Test Electronics de corriger de graves failles de sécurité de son système SETracker.
Dans le contexte actuel, la société britannique Pen Test Partners, une société britannique approuvée par le Centre National de Sécurité a mené une étude rendue publique le 9 juillet 2020 concernant la pénétrabilité des applications permettant une interaction entre soignant et soigné.
Ces applications sont principalement destinées aux soignants de personnes âgées atteintes de démence ou d’autres troubles cognitifs. Elles permettent un suivi complet du patient, géographique, mais aussi médical, une option permettant de déclencher un message de rappel de prise de médicament, ou des appels audio ou vidéos.
L’analyse sécuritaire menée par Pen Test Partner a ensuite été étendue à tous les dispositifs connectés fonctionnant avec le service sous-jacent SETracker, développé par une société chinoise appelée 3G Electronics, basée à Shenzhen City, et utilisé par de nombreux appareils de suivi GPS bon marché commercialisés sur Amazon, mais également pour des traqueurs automobiles ainsi que pour les très populaires applications de suivi GPS des enfants (téléchargées plus de 10 millions de fois au Royaume-Uni selon Pen Test).
Pen Test a déploré des manquements particulièrement graves aux exigences primaires de sécurité, lesquelles ont pu être examinées par l’analyse du code source de SETraking, librement téléchargeable.
Les experts de Pen Test ont constaté qu’il était possible pour quiconque de prendre l’identité d’un soignant et d’envoyer une commande « TAKEPILL » à un appareil quelconque, ce qui peut évidemment mener à des cas d’overdose.
Les experts sont également parvenus à personnaliser envoyer anonymement des messages personnalisés, ce qui peut conduire à des comportements qualifiables de cyber-harcèlement.
Ces manquements sont d’autant plus grave que les messages ainsi envoyés ne sont pas enregistrés sur l’appareil lié à la montre connectée (téléphone ou tablette), et qu’ils disparaissent après leur lecture, de sorte que la preuve de leur réception sera impossible à rapporter.
D’autres failles sécuritaires pouvant attenter à la vie privée des utilisateurs ont été identifiées par Pen Test : appel à n’importe quel téléphone et à partir de n’importe quel numéro de téléphone, contrôle à distance d’appareils pour l’envoi de SMS, arrêt de traqueurs de véhicules, ou accès aux données de l’appareil photo des appareils connectés.
Pen Test suit un processus spécifique d’identification des failles de sécurité ne lui permettant de compromettre les services de l’entreprise faisant l’objet du contrôle uniquement si celle-ci ne collabore pas ou ne met rien en œuvre pour mettre fin aux failles identifiées.
Pen Test n’a donc pas été en mesure d’identifier les pénétrations réalisées par des tiers, car 3G Electronics à rapidement déployé des mesures techniques pour combler ces failles.