Les pirates ont une nouvelle cible pour le phishing… et ce sont les vélos d’appartement

Chaque fois qu'un nouveau gadget qui semble « impossible à pirater » sort, les experts nous prouvent le contraire en en profitant quand même. Récemment, des chercheurs ont découvert une faille de sécurité dans les vélos intelligents Peloton qui pourrait permettre à un pirate de vous espionner pendant que vous faites du vélo.

Alors pourquoi les cybercriminels attaquent-ils les vélos d'appartement ? Et que pouvez-vous y faire ?

Comment les pirates attaquent-ils les vélos d'appartement ?

McAfee a tiré la sonnette d'alarme après que ses chercheurs ont découvert un exploit dans les vélos d'appartement Peloton. Heureusement, les chercheurs ont réussi à attirer l'attention de Peloton avant les pirates, mais il est toujours possible que certains agents malveillants aient trouvé et utilisé l'exploit avant cette date.

Pour effectuer l'attaque, le pirate doit d'abord créer une clé USB contenant le fichier de démarrage Peloton. Ils l'emmèneraient ensuite sur le vélo qu'ils veulent pirater et le brancher, en modifiant le fichier de démarrage pour leur permettre d'y accéder. Les vélos ne vérifient pas ce genre d'attaque, cela donnerait donc au pirate des droits d'administrateur sur la machine.

Avec ces droits, ils peuvent ensuite altérer le vélo à leur guise. Ils peuvent utiliser ce pouvoir pour récolter les informations personnelles de quiconque utilise le vélo.

McAfee a divulgué cette faille à Peloton, qui a ensuite publié un correctif pour ses vélos d'appartement le 4 juin 2021. Cependant, cela signifie que si vous sautez sur un vélo dans une salle de sport à cette date ou avant, il y a peu de chances que le vélo vous choisi avait été compromis.

Quel type de données a été volé ?

Il peut sembler étrange qu'un pirate informatique s'en prenne à un vélo d'appartement, mais les modèles de nos jours sont livrés avec de nombreux gadgets et fonctionnalités sophistiqués qui peuvent être retournés contre les utilisateurs pour récolter leurs informations.

Bien sûr, le pirate informatique ne s'introduit pas dans le vélo pour pouvoir vous féliciter d'avoir terminé cette routine d'exercices marathon. Au lieu de cela, ils recherchent des informations qu'ils peuvent personnellement utiliser ou vendre.

Créer de fausses applications Peloton

Les vélos intelligents comme les machines de Peloton ont des applications sur eux que les cyclistes peuvent utiliser pendant qu'ils transpirent. Ces applications incluent des services en ligne populaires tels que Netflix et Spotify.

Les pirates peuvent exploiter cela en téléchargeant de fausses versions de l'application sur le vélo. Celles-ci ont le même aspect que l'application officielle, mais lorsque l'utilisateur entre ses informations de connexion, elles sont renvoyées au pirate.

Mais attendez une minute ; pourquoi diable un pirate informatique veut-il accéder à votre compte Netflix ou Spotify ? Après tout, vous pouvez créer un compte Spotify gratuitement et Netflix n'est pas si cher que ça. Un pirate informatique est-il vraiment si désespéré d'obtenir des films gratuits qu'il piraterait un vélo d'appartement ?

Cela peut vous surprendre, mais ces comptes peuvent se vendre sur le marché noir. Certaines personnes ne veulent tout simplement pas payer les frais mensuels pour Netflix ou Spotify Premium ; ils préfèrent effectuer un paiement unique pour accéder au compte de quelqu'un d'autre et lui faire payer la facture à la place. Ce n'est qu'un des nombreux comptes en ligne choquants vendus sur le dark web .

De plus, si vous allez à l'encontre des conseils et utilisez le même nom d'utilisateur et le même mot de passe sur plusieurs comptes, plus que de simples applications de divertissement pourraient être compromises.

Collecte d'informations d'identification personnelle

Les choses deviennent un peu plus effrayantes lorsque vous réalisez que les vélos Peloton sont également équipés d'un microphone et d'une caméra. Les pirates peuvent les utiliser pour espionner quiconque utilise la machine.

Bien entendu, le hacker a besoin d'une connexion active au vélo afin d'espionner son utilisateur en temps réel. En tant que tel, ils devront installer une porte dérobée qui leur donne la permission d'accéder au matériel du vélo à l'insu de l'utilisateur.

Non seulement cela, mais McAfee note que les pirates peuvent même déchiffrer les données envoyées par le Peloton aux serveurs. Cela signifie que le cybercriminel peut récolter toutes les informations confidentielles que le vélo collecte pour avoir une meilleure idée de qui l'utilise.

Comment vous protéger des hackers à vélo

Tout cela semble très terrifiant, mais rappelez-vous que Peloton a corrigé cet exploit en juin 2021. Cela signifie que vous devez vous rappeler si vous avez utilisé une machine Peloton dans un lieu public avant cette date.

Même si vous en avez utilisé un après cette date, il est possible que votre salle de sport locale n'ait pas encore téléchargé le dernier firmware pour le vélo, ce qui signifie que l'exploit est toujours présent.

Voyons quelques façons de protéger votre vie privée lorsque vous utilisez des appareils d'exercice.

1. Optez pour des vélos « idiots » plutôt que des vélos « intelligents »

Si vous détestez l'idée d'un vélo qui vous espionne et vole les informations de votre compte, pourquoi ne pas opter pour un vélo qui ne peut faire ni l'un ni l'autre ? Aussi flashy et magique que les entreprises fabriquent des vélos connectés à Internet, connecter un appareil au World Wide Web comporte toujours sa juste part de menaces.

En tant que tel, le meilleur moyen de protéger votre confidentialité numérique est d'obtenir ou d'utiliser un vélo d'appartement avec peu ou pas de technologie du tout. Bien sûr, cela signifie que faire du vélo dans votre ville est une bonne option. Si vous souhaitez vous en tenir à une machine d'exercice, il existe de nombreux utilisateurs, soit un simple affichage numérique, soit aucun.

Bien qu'il soit possible que n'importe quel vélo d'appartement doté d'un affichage numérique puisse être piraté, l'objectif ici est de minimiser la quantité d'informations qu'un pirate informatique obtiendrait s'il violait la sécurité. Moins le vélo affiche ou utilise d'informations, moins les données sont utiles pour un pirate informatique.

Par exemple, un vélo avec des webcams, des microphones et des applications pose un énorme risque pour la vie privée s'il est violé. En revanche, un vélo qui ne vous indique que des statistiques générales comme la distance parcourue et votre fréquence cardiaque ne donnera rien de valeur à un hacker.

Cela s'applique également à d'autres gadgets pour la maison. Par exemple, saviez-vous que les pirates peuvent compromettre les ampoules intelligentes de toutes choses ? Cela montre que très peu d'appareils intelligents sont « trop petits pour être piratés » ; s'il a une faiblesse, un hacker peut l'exploiter.

2. Gardez le micrologiciel de votre vélo intelligent à jour

Si vous ne supportez vraiment pas de vous séparer de votre vélo intelligent bien-aimé, alors il est temps de vous assurer que ses défenses sont en place. Mettez toujours à jour le firmware de votre vélo, car ces mises à jour contiendront des correctifs qui corrigent les exploits et les failles de sa sécurité.

Même si personne d'autre n'utilise ou ne peut atteindre votre vélo d'appartement, cela protégera votre appareil des attaques à distance.

3. Ne faites pas entièrement confiance à la technologie trouvée dans le public

Vous vous souvenez du vecteur d'attaque réel sur les vélos Peloton ? Le pirate a dû visiter physiquement la machine d'exercice afin qu'elle puisse brancher une clé USB.

En tant que tel, si vous avez un Peloton à la maison, il est extrêmement peu probable qu'un pirate informatique ait réussi à utiliser cet exploit sur celui-ci. Cependant, les machines à vélo trouvées dans le gymnase sont une autre histoire.

Soyez toujours fatigué d'utiliser un vélo d'appartement intelligent dans un lieu public. Essayez d'éviter de lui donner des détails personnels, et s'il a une webcam ou un microphone, trouvez peut-être une autre machine.

Ce conseil s'applique à pratiquement toutes les technologies destinées au public. Même les réseaux Wi-Fi publics peuvent être des points chauds pour des activités criminelles, s'attaquant aux civils qui s'y connectent.

Connexes: Façons dont les pirates utilisent le Wi-Fi public pour voler votre identité

Rester en sécurité au gymnase

Une vulnérabilité récente des vélos Peloton a révélé comment les pirates pouvaient télécharger de fausses applications et savoir qui les conduisait. Assurez-vous toujours que vos appareils intelligents et vos appareils d'exercice sont à jour. Si le push vient à pousser, vous pouvez toujours opter pour les versions "stupides" à la place.

Si vous avez déjà configuré une maison intelligente complète, ne vous inquiétez pas. Tant que vous étudiez tous ses risques de sécurité et comment les éviter, tout devrait bien se passer.