Comme dans le dernier épisode de Star Wars, BB-8, le petit robot jouet de Sphero, fait l’objet de toutes les attentions. Une équipe de testeurs en sécurité a révélé deux failles accessibles même aux débutants en hacking. © DR La vie de BB-8 n’est décidément pas facile. Poursuivi par l’Empire sur écran, et sur Terre traqué par des hackers et des testeurs pour lui découvrir des failles de sécurité exploitables. Le test réalisé par une équipe de Pen Test Partners dévoile deux failles qu’un bidouiller à proximité du robot pourrait exploiter au départ de son smartphone. La première est liée à l’absence de code PIN qui doit sécuriser la connexion entre le smartphone et le jouet. Ceci devrait amener un « pirate » à déplacer le jouet selon sa volonté. La seconde tient dans la mise à jour du firmware, le micro-logiciel qui interagit avec les composants matériels. Pour charger un nouveau firmware, il faut chercher les fichiers sur un site web non sécurisé (sans https, sans authentification SSL) ce qui pourrait permettre à un pirate de substituer les fichiers officiels par des versions modifiées. Peu de risques en somme car pour se permettre ces manipulations il est nécessaire de se trouver à proximité du robot et de savoir utiliser les vulnérabilités d’une communication Bluetooth. L’équipe de développement du BB-8 a été prévenue des failles de sécurité et a publié un correctif. Source Philippe Schreurs (St.)