Votre casque pourrait ne pas suffire à assurer votre sécurité lorsque vous conduisez un e-scooter.
Les scooters électriques sont de plus en plus populaires pour les petits trajets. Outre leur aspect pratique, ils présentent également une série de risques en matière de cybersécurité et de protection de la vie privée, selon une étude de l’université du Texas à San Antonio (UTSA).
L’étude, que l’UTSA qualifie de « première étude des risques pour la sécurité et la vie privée que présentent les scooters électroniques et les services et applications logicielles qui y sont liés », décrit divers scénarios d’attaques auxquels les passagers pourraient être confrontés et suggère des mesures pour faire face à ces risques.
De nombreux scooters électroniques utilisent une combinaison de Bluetooth Low Energy (BLE) et de la connexion internet du smartphone du conducteur pour fonctionner, ainsi que pour envoyer des données au fournisseur de services. Cela ouvre un certain nombre de possibilités d’attaques potentielles. Par exemple, de mauvais acteurs pourraient écouter les données diffusées, ce qui pourrait, à son tour, conduire à une attaque to Man-in-the-Middle (MitM) et à des attaques en différé. Par conséquent, dans certains cas, les pirates pourraient injecter à distance des commandes pour prendre le contrôle du scooter et blesser le conducteur ou les piétons. En fait, ce risque a déjà été découvert dans un scooter Xiaomi l’année dernière.
La batterie, le moteur, les freins, les phares et la puce de commande d’un scooter font partie des composants clés qui peuvent être visés lors d’une attaque physique. Les attaquants peuvent alors échanger les composants clés ou installer des « modules malveillants », leur permettant de contrôler le scooter à distance ou de recueillir des informations privées en cachette. En manipulant à distance les freins et l’accélération, l’acteur malveillant pourrait blesser le conducteur ou d’autres personnes.
Les applications de micromobilité permettent généralement de suivre les déplacements des e-scooters, ce qui signifie que l’usurpation d’emplacement est un autre sujet de préoccupation. Les acteurs malveillants peuvent, par exemple, attirer un conducteur dans une zone isolée pour s’en prendre à lui.
Les fournisseurs de scooters électroniques exigent un large éventail d’informations de la part des conducteurs pour s’inscrire à leur service. En général, ces informations comprennent une forme d’identification, ainsi que des informations sur la facturation, les contacts et la démographie. Les fournisseurs collectent automatiquement des données supplémentaires, notamment des informations spécifiques aux GPS et aux smartphones. Les attaquants ayant accès à ces données peuvent créer une image complète des habitudes des usagers, des lieux qu’ils fréquentent et des itinéraires qu’ils sont susceptibles d’emprunter.
La plupart des risques peuvent être atténués en mettant en œuvre les meilleures pratiques en matière de cybersécurité. Les employés qui rechargent les scooters pourraient vérifier leurs composants mécaniques ou électriques pour s’assurer que personne n’a manipulé les scooters. En ce qui concerne les risques imminents pour la vie privée, l’une des meilleures mesures à prendre serait de mettre en œuvre une approche « privacy-by-design » (intégrant la vie privée à chaque étape de la conception) pour les applications, en rendant les parties qui traitent les données inaccessibles au personnel non autorisé. En outre, la surveillance du trafic de données aiderait le fournisseur de services à réagir aux menaces en temps réel.
Discussion