[INSOLITE] Hacking des trottinettes Xiaomi à distance

     Une faille de sécurité permettant de contrôler à distance les trottinettes électriques Xiaomi M365 (Mi Scooter en France) a été découverte par la société de sécurité Zimperium. Concernant cette faille, Xiaomi a répondu qu’elle commençait à « travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée ». De plus, Xiaomi a annoncé qu’une mise à jour sera bientôt disponible. Après avoir révélé la faille, Zimperium a créé une application qui permet de prendre le contrôle n’importe quel véhicule dans un rayon de 100 mètres. Les auteurs ont pu pirater ces trottinettes par le biais du Bluetooth pour contrôler plusieurs fonctions de l’engin tels que le système antivol, le réglage de la vitesse ou encore la mise à jour des programmes de la trottinette. De par le Bluetooth, qui n’a aucun moyen de défense face à un piratage (le mot de passe concernant uniquement l’application et non la trottinette), les chercheurs ont eu accès à la majeure partie des capacités de la M365. Les utilisateurs de cette engin font donc face à diverses problématiques.

Zimperium a listé trois façons différentes d’utiliser la faille :
– Une attaque par déni de service pour bloquer l’engin ;
– L’installation d’un virus pour en prendre le contrôle ;
– Une attaque ciblée provoquant une accélération soudaine ;

Pour cette dernière, Zimperium a déclaré avoir créé un « un programme capable de faire accélérer la trottinette. Il ne sera pas révélé par mesure de sécurité ». Bien qu’elle concerne des milliers d’utilisateurs, les chercheurs ont ajouté que cette faille pouvait particulièrement concerner les services de transports n’ayant pas désactivé ou remplacé leur module Bluetooth.