Un modèle populaire de scooter électrique Xiaomi, le M365, présente une grave faille de sécurité qui peut provoquer des accidents : grâce à une connexion Bluetooth, une personne malveillante peut installer un logiciel malveillant à distance et prendre le contrôle total du véhicule, en accélérant ou en freinant le scooter à tout moment.
La vulnérabilité a été découverte par le chercheur en sécurité Rani Idan du cabinet de conseil Zimperium et divulguée sur Wired. La vidéo suivante montre une preuve de concept dans laquelle un scooter électrique Xiaomi est désactivé à distance avec une application malveillante, laissant la victime au milieu de la rue :
L’attaque est possible parce que le M365 a une défaillance du module Bluetooth, qui connecte le scooter à une application Xiaomi, utilisée pour vérifier l’autonomie restante, la vitesse moyenne et mettre à jour le micrologiciel. Même sans entrer de mot de passe, un pirate informatique peut se connecter au scooter et installer des logiciels malveillants. Il n’y a pas de vérification pour confirmer que le code est bien le Xiaomi officiel.
Bien que l’application de Xiaomi permette de définir un mot de passe en M365, la preuve de concept d’Idan montre que le scooter ne nécessite aucune authentification pour la connexion Bluetooth, même après que l’utilisateur ait activé la fonction de sécurité. En outre, les entreprises de scooters partagés utilisent le même modèle: aux États-Unis, je suis monté sur un Bird M365, et Lyft a également adopté le produit.
Xiaomi dit à Zimperium qu’elle connaît le problème en interne, mais que l’implémentation du module Bluetooth provient d’une troisième société. Les deux sociétés travaillent ensemble pour trouver une solution. En attendant, faites attention.
