Posté le juin 18, 2021 à 17:15
UNE FAILLE DÉTECTÉE SUR UN APPAREIL DE GYMNASTIQUE PELOTON ET EXPLOITÉE PAR DES HACKERS
Des entreprises de cybersécurité ont appris que des équipements de gymnastique très répandus, notamment le Peloton Bike et le Peloton Tread, présentaient une faille de sécurité exploitable par des hackers. Cette vulnérabilité pourrait rendre les utilisateurs d’appareils de gym victimes de nombreuses cyberattaques, du vol de données personnelles et d’enregistrements vidéo non autorisés.
L’équipe de recherche sur les menaces avancées (ATR) de McAfee a découvert la faille et a déclaré que les hackers pouvaient accéder à distance à la tablette Peloton en l’exploitant. La tablette est un élément important de l’équipement d’exercice qui permet à l’utilisateur d’accéder à des contenus en ligne tels que des vidéos d’entraînement.
En accédant à cette tablette, un hacker peut alors déployer un logiciel malveillant, surveiller le trafic et accéder aux données de l’utilisateur. Le bug permet même au hacker d’accéder à la caméra et au microphone de l’équipement Peloton.
L’un des mécanismes exploités par les hackers lors de l’attaque consiste notamment à créer des applications dupliquées de plateformes telles que Netflix et Spotify pour voler les identifiants des utilisateurs. Le logiciel malveillant pourrait également enregistrer des vidéos de séances d’entraînement pour les vendre ensuite sur le dark web.
D’autres attaques consistent à remplacer le contenu utile de la tablette par des vidéos contrôlées par les attaquants. Les attaquants pourraient également avoir accès aux communications cryptées via le cloud et aux bases de données liées au Peloton. Cela leur permet d’accéder à des informations sensibles.
Cependant, tous les hackers ne peuvent pas accéder à la vulnérabilité des appareils d’entraînement Peloton et l’exploiter. Selon McAfee, un hacker doit avoir un accès physique à l’appareil ou faire partie de la chaîne d’approvisionnement à n’importe quel moment, de la fabrication à la livraison. Cela signifie que les hackers accèdent principalement à l’équipement depuis la salle de sport.
Comment se déroule le piratage ?
McAfee a expliqué le processus de piratage en précisant qu’un hacker devait insérer une minuscule clé USB dans l’équipement. La clé USB contient une petite clé avec un fichier image de démarrage contenant un code malveillant. La clé USB permet à l’utilisateur d’accéder à distance à l’équipement.
Dans son étude, McAfee indique que « Comme l’attaquant n’a pas besoin de déverrouiller le vélo en usine pour charger l’image modifiée, il n’y a aucun signe qu’il a été trafiqué. » « Avec son nouvel accès, le hacker interfère avec le système d’exploitation de l’appareil Peloton et a maintenant la possibilité d’installer et d’exécuter n’importe quel programme, de modifier des fichiers ou de mettre en place un accès par porte dérobée à distance sur Internet. »
La vulnérabilité de l’équipement Peloton est qu’il n’a pas détecté la nouvelle commande de démarrage. Selon MacAfee, l’équipement devrait normalement refuser l’ajout puisqu’il n’était pas intégré au logiciel de l’appareil.
Les chercheurs de MacAfee ont déclaré que « le processus Verified Boot sur le vélo n’a pas réussi à identifier que les chercheurs avaient altéré l’image de démarrage, permettant au système d’exploitation de démarrer normalement avec le fichier modifié. » « Pour un utilisateur peu méfiant, le Peloton Bike+ semblait tout à fait normal, ne montrant aucun signe de modification externe ou d’indice que l’appareil avait été compromis. En réalité, [nous] avions pris le contrôle total du système d’exploitation Android du vélo. »
Peloton publie des mises à jour
Peloton a publié une mise à jour de la dernière version de son firmware. Les propriétaires d’appareils Peloton ont été invités à effectuer des mises à jour afin d’éviter que la vulnérabilité ne compromette la sécurité des utilisateurs de salles de sport. En outre, les utilisateurs à domicile ont été invités à installer la mise à jour, car la vulnérabilité peut avoir été exploitée dans la chaîne d’approvisionnement. Les mises à jour peuvent être effectuées à partir de la tablette, ou l’utilisateur peut activer les mises à jour automatiques.
La vulnérabilité a probablement été exploitée en raison de l’augmentation du nombre de personnes rejoignant les salles de sport suite aux confinements causés par la pandémie Covid-19. Selon un rapport publié par Peloton, leur nombre a augmenté de 22 % entre septembre et décembre 2020 pour atteindre plus de 4,4 millions d’utilisateurs.
Le responsable de la sécurité informatique mondiale de Peloton, Adrian Stone, s’est exprimé sur le sujet en déclarant que « cette vulnérabilité signalée par McAfee nécessiterait un accès physique direct à un Peloton Bike+ ou Tread. Comme pour tout appareil connecté dans la maison, si un attaquant est capable d’y accéder physiquement, des contrôles physiques et des protections supplémentaires deviennent de plus en plus importants. Pour assurer la sécurité de nos membres, nous avons agi rapidement et en coordination avec McAfee. Nous avons diffusé une mise à jour obligatoire au début du mois de juin, et tous les appareils sur lesquels cette mise à jour est installée sont protégés contre ce problème. »
Ce n’est pas la première fois que le logiciel de Peloton est exposé pour ses vulnérabilités. En mai, Jan Masters, un chercheur en sécurité de Pen Test Partners, a révélé que l’API de Peloton ne protégeait pas les profils privés des utilisateurs, notamment leur âge, leur ville et leur historique d’entraînement. Les profils étaient exposés malgré le fait que les utilisateurs les avaient configurés comme privés.