Des trottinettes électriques Xiaomi piratables à distance : le constructeur déploie un correctif

Maj. le 9 juillet 2020 à 15 h 30 min

Mise à jour du 19 mars 2019 : 

Xiaomi a finalement déployé un correctif afin d'empêcher ses trottinettes électriques d’être piratées. Les propriétaires du Mi Electric Scooter sont donc invités à installer la mise à jour logicielle OTA (Version 1.5.1), qui corrige toutes les failles identifiées. Pour recevoir la mise à jour, vous devez absolument installer la dernière version de l’application Mi Home / Xiaomi Home app (version 5.5.0 sur Android et version 4.13.101 sur iOS). 

Les trottinettes électriques de Xiaomi peuvent facilement être piratées à distance, rapportent des chercheurs en sécurité informatique. En étudiant le Mi Scooter de plus près, ils y ont en effet découvert une grave faille de sécurité dans la connexion bluetooth de l’appareil. Explications. 

xiaomi trottinettes piratage

« Dans le cadre de nos recherches sur les objets connectés, nous avons examiné le scooter électrique Xiaomi M365 (NDLR : appelé Xiaomi Mi Scooter en France) et l’avons passé à la loupe » expliquent les chercheurs de Zimperium, Inc. une firme de sécurité mobile basée aux États-Unis, dans une étude relayée par nos confrères de Numerama.

Une faille permet de pirater les Xiaomi Mi Scooter à distance

Selon les chercheurs, un hacker peut facilement prendre le contrôle d’un trottinette de Xiaomi à une distance de 100 mètres sans jamais avoir besoin d’un accès physique au véhicule. La faille identifié par Zimperium se situe dans le système bluetooth, qui est utilisé pour les mises à jour logiciel, le système antivol ou le réglage de la vitesse.

Lire aussi : les meilleures trottinettes électriques de 2019

Ces fonctionnalités sont regroupées dans une application dédiée verrouillée par un mot de passe. En théorie, l’usager est donc en mesure d’interdire l’accès aux réglages et au contrôle de l’engin à une tierce personne. En pratique, cette sécurité ne protège que l’accès à l’application et non pas à la trottinette. « Le mot de passe n’est validé que du côté de l’application, mais le scooter lui-même ne garde pas trace de l’authentification » regrettent les experts. Pour prendre le contrôle d’un Mi Scooter, les chercheurs ont créé une application qui permet de se connecter dans passer par la case identifiants et mot de passe. Grâce à cette astuce, ils sont parvenus à enclencher à distance l’antivol tout les scooter présents à une distance maximale de 100 mètres.

Selon Zimperium, les pirates pourraient utiliser cette faille de plusieurs manières différentes : en bloquant tout simplement la trottinette, en y intégrant incognito un malware capable de contrôler l’engin sur une plus longue distance et en forçant le scooter à accélérer contre le gré de son conducteur. Ils présentent les risques engendrés par ce type de failles dans la vidéo ci-dessous.

Sans surprise, Zimperium a informé Xiaomi de l’existence d’une grave faille. Peu après, Xiaomi nous donc a contacté pour nous assurer qu’une mise à jour corrective était actuellement en cours de développement. Découvrez la réaction officielle du constructeur ci-dessous :

« Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté. C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée. 

En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs »



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
Les trottinettes électriques autonomes arrivent grâce au téléguidage !

Trois entreprises américaines, Go X, Tortoise et Curiosity Labs s’associent pour lancer un services de location de trottinettes électriques aux Etats-Unis avec une particularité inédite. Les trottinettes peuvent être téléguidées par des équipes distantes pour les rendre « autonomes » et les…

COUP va fermer son service de scooters électriques à Paris

COUP, le service de location de scooters électriques en free floating, annonce à la surprise générale l’arrêt total de ses activités à Paris, Berlin, Madrid et Tübingen. La firme filiale de Bosh explique sur twitter que la poursuite de ses…

OSLO : voici la mobylette électrique du futur

Les campagnes Kickstarter laissent parfois entrevoir les objets de demain. C’est le cas d’OSLO, un projet lancé par Karmic, spécialiste du vélo électrique. Bien qu’il s’agisse d’un vélo OSLO a des allures de mobylette électrique du futur.

Bosch présente la première poussette électrique au monde

Bosch vient de lever le voile sur la première poussette électrique du monde. Attendue sur le marché dès les premiers mois de 2020, elle est équipée de deux moteurs électriques, d’une connexion bluetooth, d’une alarme, d’une application mobile dédiée (Android…

Une trottinette électrique est moins écologique qu’un bus

Les trottinettes électriques sont-elles vraiment écologiques ? Pas tant que ça, nous apprend l’une des premières études scientifiques sur le sujet. En plus de ne pas être aussi durables qu’on les présente, elles causeraient également plus de tort à l’environnement que…