Xiaomi Mi Scooter : la trottinette pilotée à distance, mais pas par vous

Mise à jour : Xiaomi a annoncé le déploiement d’une mise à jour qui vient régler les problèmes de sécurité évoqués ci-dessous.

Mise à jour (13/02/19) : le loueur Bird (équipé en trottinettes Mi Scooter) annonce ne pas être affecté par ce problème de sécurité car le composant incriminé serait remplacé lorsque Bird ajoute son hardware dans les trottinettes.

La trottinette électrique de Xiaomi, le fameux Mi Scooter (M365), présenterait une large faille de sécurité qui permettrait à un tiers malveillant d’en prendre le contrôle à distance.

Image 1 : Xiaomi Mi Scooter : la trottinette pilotée à distance, mais pas par vous

Après les voitures connectées, avec le cas de la Jeep Cherokee en 2015, c’est au tour de la mobilité urbaine de subir les affres du piratage. Connectée elle aussi, la M365 de Xiaomi contiendrait ainsi une brèche qui permettrait à un hacker d’interagir directement sur son accélération et son freinage, notamment, rapporte le groupe de recherche américain Zimperium.

Spécialisé dans les solutions de sécurité, il pointe du doigt le processus d’authentification par code de l’application de la trottinette. Et c’est bien cette précision qui est importante. Seule l’application qui se connecte en Bluetooth à la trottinette est protégée par un mot de passe et non le cycle en lui-même. Pour sa démonstration, Zimperium n’a eu qu’à développer sa propre application pour prendre la main sur toutes les Xiaomi M365, d’un coup d’un seul.

>>> Mijia M365 : faut-il craquer pour la trottinette de Xiaomi

Ils ont alors pu modifier tous les outils d’administration de la trottinette, permettant de bloquer son utilisation, limiter sa vitesse et modifier la récupération d’énergie. En ajoutant du développement, il ont pu accéder aux commandes directes de l’appareil et donc à son accélération et son freinage. La prise de contrôle à distance est alors pleine et fonctionne jusqu’à 100 mètres, rapporte Zimperium.

Si la démonstration a été effectuée à partir d’un Mi Scooter, la technique devrait sans nul doute fonctionner également sur les modèles de Ninebot-Segway, les ES1 et ES2, lesquels utilisent la même application pour communiquer.

>>> [Test] Ninebot ES2 : que vaut la nouvelle trottinette de Segway ?

La quantité d’appareils touchés est alors grandement accrue, notamment par les loueurs de trottinettes, Bird et Lime en tête. Le premier est équipé en M365 alors que le second dispose d’une flotte exclusivement composée d’ES1. À cela, il faut ajouter tous les exemplaires possédés par les particuliers. À moins de 500 € la machine, les trottinettes de Ninebot et Xiaomi semblent se vendre comme des petits pains dans les zones urbaines françaises, au vu du nombre que l’on peut y croiser.

Zimperium a bien évidemment informé Xiaomi de la faille de sécurité qu’ils ont débusqué. Le géant chinois vient de réagir à travers une déclaration officielle dans laquelle il explique qu’ils sont “conscients d’une vulnérabilité que des hackers malintentionnés peuvent exploiter pour interrompre les opérations du Mi Scooter. Dès que nous avons découvert cette vulnérabilité, nous avons commencé à la réparer et à éliminer toutes les applications non autorisées […] Une “mise à jour en OTA est en cours de développement par les équipes de sécurité de Xiaomi. Elle sera disponible dès que possible.”

>>> Comment bien choisir une trottinette électrique