La trottinette Xiaomi M365 peut être piratée pour accélérer ou freiner subitement

Bastien Contreras
12 février 2019 à 19h16
16
trottinette électrique

Des chercheurs en sécurité mobile ont découvert une faille de sécurité dans les trottinettes électriques Xiaomi M365. Celle-ci permet tout simplement à des hackers de prendre le contrôle d'un engin, pour l'empêcher de bouger ou pour le faire accélérer d'un coup. Et le problème, c'est que ce modèle est particulièrement répandu, notamment chez les services de partage de trottinettes.

Les auteurs de la découverte travaillent pour l'entreprise Zimperium, spécialisée en sécurité mobile. Ils ont révélé une vulnérabilité conséquente au sein du modèle M365 de Xiaomi, fabriqué par Segway-Ninebot.

Contrôler la trottinette à distance

En effet, l'appareil présente un défaut de conception au niveau de son module de communication Bluetooth. Celui-ci est initialement prévu pour verrouiller la trottinette et l'empêcher d'être utilisée par quelqu'un d'autre. Mais la faille ainsi mise en évidence peut permettre à des pirates de lancer des attaques DoS ou d'installer un malware pour prendre le contrôle du véhicule.

Dans une vidéo publiée par Zimperium, les chercheurs démontrent qu'ils peuvent cibler n'importe quel individu circulant sur une Xiaomi M365, et ce, jusqu'à une distance de 100 mètres. Ils pouvaient alors pousser la trottinette électrique à freiner ou accélérer brusquement, en envoyant des commandes depuis un téléphone. De cette façon, le piratage pourrait ni plus ni moins mettre en danger la vie des utilisateurs.


Circulez à trottinette, il n'y a rien à voir

Alertée par Zimperium, l'entreprise chinoise Xiaomi n'a pas semblé particulièrement émue par cette vulnérabilité. Elle a qualifié le bug de « problème connu en interne », sans pour autant mettre à jour son logiciel.

La faille pourrait également concerner des entreprises de location de trottinettes électriques en libre-service, telles que Bird ou Lime. D'autant que certains engins de Xiaomi peuvent être revendus sous d'autres noms à des sociétés.

Mais du côté de Lime, on déclare qu'aucun modèle M365 ne figure dans la flotte de véhicules proposés. Quant à l'entreprise Bird, elle affirme connaître ce bug depuis plus d'un an et que ses trottinettes ne sont pas touchées, y compris ses Xiaomi M365. Suffisant pour rassurer les utilisateurs ?

Source : The Verge

Bastien Contreras

Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autr...

Lire d'autres articles

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

ZiiD
Rien à foutre !
gnagnagna
les script-kiddies mouillent déjà dans leur culotte petit-bateau
Stinger_V
Bravo les Geeks pour cette performance qui va encore embêter bien du monde. Vous ne pouvez pas vous contenter de programmer vos raspberry, installer linux ou autre :(. En plus, vous allez certainement dire que c’était pour rendre service …
merotic
A force de tout vouloir faire à “distance” (10 cms maxi hein, et encore) on ne pourra même plus contrôler sa vie si un type décide de pirater vos objets connectés.<br /> Un conseil : préparez les services dépannage pour tous ces objets en ligne non sécurisés : il va y avoir un sacré filon pour aider les teubés à gérer leur vie du quotidien.<br /> Quand je pense à la serrure électronique, la domotique…<br /> Beaucoup de gens se laisseront convaincre par la machine à laver à programmer à distance…ils ne réfléchirons pas qu’il faudra toujours quelqu’un pour trier, mettre (et sortir) le linge et les produits.<br /> Puis la cuisinière à distance : vous êtes dans la salle à manger mais pour lancer l’allumage d’un réchaud il faudra obligatoirement passer par son smartphone…c’est tellement “progressiste wouhhaaaa” !<br /> Avant c’était simple : tu appuyais (ou tu tournais) sur un bouton et ça s’allumait : désormais, c’est tactile et donc plus long : il faut appuyer sur la zone du bon réchaud pour le sélectionner et appuyer sur une autre zone pour faire progresser les numéros de puissance du réchaud.<br /> On clique beaucoup plus, mais c’est “tellement trop “i-device style” le tactile whouuuuuaaaah !”<br /> J’en peux plus de la gestion de sa vie avec son smartphone: ça ne cesse d’empirer et on y est presque forcés avec les cartes de reduc sur smartphone.
Stinger_V
Tout a fait d’accord avec toi merotic. Le progrès c’est bien mais il y a des limites
louchi
lol, tellement vrai +10,000,000,000,000,000 euros
vbond
Entièrement d’accord avec vous deux. Le progrès c’est bien, mais là on ne parle de pas de progrès mais de manque de bon sens des concepteurs et des acheteurs…
Faisduvelo
De toute façon, la trottinette électrique, c’est moins bon pour la santé que le vélo ou la trottinette pas électrique parce qu’elle ne demande aucun effort du pilote, contrairement au vélo à assistance.<br /> Et c’est dangereux même sans se faire hacker, donc on peut juste les interdire et le problème sera résolu !
yatto
Je suis globalement d’accord avec tout ça, mais l’exemple des réchauds est très mal choisi : s’ils ont des boutons tactiles, c’est principalement pour des raisons de sécurité. De cette manière, il n’y a pas de liquide qui peut s’infiltrer dans un éventuel bouton et provoquer une panne ou un court-circuit. (Et puis c’est pratique à fabriquer, compte tenu de l’impératif de sécurité.)<br /> Mais autrement, c’est sûr, avoir une commande locale sans passer par un réseau, c’est quand même à la fois plus simple et plus sécurisé. Le problème c’est vraiment la mise en réseau et l’interconnexion à distance.
pocketalex
@anon11033308<br /> La probabilité que tu tombes sur un pirate qui a le logiciel sur son smartphone et qui décide de l’utiliser au moment ou tu passes… franchement
pocketalex
" Quant à l’entreprise Bird, elle affirme connaître ce bug depuis plus d’un an et que ses trottinettes ne sont pas touchées, y compris ses Xiaomi M365. Suffisant pour rassurer les utilisateurs ?"<br /> L’entreprise Bird modifie les trotinettes et notamment le système bluetooth qui est remplacé par un boitier de leur propre construction<br /> Donc à moins qu’un hacker cherche (et trouve) une faille sur les boitiers Bird, ces modèles ne sont absolument pas concernés, donc oui, suffisant pour rassurer les utilisateurs.
dancod
Interdire, interdire, interdire, il faut interdire de sortir de son lit, comme ça on risque rien… Mais on risque encore toujours de se prendre son plafond sur la tête, il faudra interdire les plafonds…
obbiclubic
L’air de rien … si une trottinette peut être contrôlée … ça en dit long sur les voitures pilotées automatiquement (Genre Google, Tesla) …
3o6
Les gens ont l’air tellement idiot avec ça que ce serait dommage de ne pas jouer avec ce genre de hack
Trottilab
Xiaomi s’est rapidement aperçu de cette fraude et a conçu la Xiaomi m365 pro de sorte à ce que les utilisateurs ne rencontrent plus ce problème. Vivement qu’elle sorte sur le sol français !<br /> Pour l’heure, nous avons aussi un site qui parle de la trottinette Xiaomi ! N’hésitez pas à venir faire un tour: https://www.trottilab.fr/
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

La trottinette électrique Xiaomi Electric Scooter 4 Go bénéficie de 100 € de remise ! La trottinette électrique Xiaomi Electric Scooter 4 Go bénéficie de 100 € de remise !
Trottinettes électriques, rien ne va plus ! Les ventes continuent de chuter, la législation se durcit Trottinettes électriques, rien ne va plus ! Les ventes continuent de chuter, la législation se durcit
Pari réussi pour Anne Hidalgo : le vélo passe devant la voiture à Paris ! Pari réussi pour Anne Hidalgo : le vélo passe devant la voiture à Paris !
Xiaomi Electric Scooter 4 Pro : l'une des meilleures trottinette électrique du moment est 150€ moins cher Xiaomi Electric Scooter 4 Pro : l'une des meilleures trottinette électrique du moment est 150€ moins cher
Lidl lance une offre choc immanquable sur le vélos électriques CRIVIT Urban E-Bikes (stocks limités) Lidl lance une offre choc immanquable sur le vélos électriques CRIVIT Urban E-Bikes (stocks limités)
Lidl casse le prix de ses nouveaux vélos électriques CRIVIT Urban E-Bikes pour leur sortie en France Lidl casse le prix de ses nouveaux vélos électriques CRIVIT Urban E-Bikes pour leur sortie en France