Une découverte alarmante vient d’ébranler l’univers des montres cardio GPS. SySS Security, une firme allemande spécialisée en cybersécurité, révèle l’existence de 8 vulnérabilités critiques touchant l’ensemble de la gamme COROS. Cette affaire, initialement rapportée par DC Rainmaker, expose des millions d’utilisateurs à des risques de piratage sans précédent dans le monde des objets connectés sportifs.
Sommaire
La découverte explosive sur la COROS Pace 3
Huit failles critiques dans le système Bluetooth
L’enquête débute avec l’analyse approfondie de la COROS Pace 3 par les experts de SySS Security. Leurs investigations révèlent des défaillances majeures dans la « Stack Bluetooth », l’ensemble du code informatique gérant les communications sans fil de la montre.
Ces vulnérabilités, classifiées selon leur gravité, présentent un tableau particulièrement inquiétant. Trois d’entre elles sont cotées « CRITICAL », le niveau de danger maximal, tandis que deux autres atteignent le statut « HIGH » et trois le niveau « MEDIUM ».
Des attaques possibles sans intervention de l’utilisateur
Le caractère particulièrement pernicieux de ces vulnérabilités réside dans leur exploitation à distance. Un pirate informatique peut déclencher plusieurs types d’attaques sans aucune interaction de la part du propriétaire de la montre, simplement en se trouvant à portée Bluetooth.
Les possibilités d’exploitation incluent l’accès intégral au compte COROS de la victime, permettant l’extraction complète de l’historique sportif, des données de santé et des informations personnelles. Plus inquiétant encore, les attaquants peuvent intercepter les notifications du smartphone connecté ou en envoyer de frauduleuses.
Vous avez un brassard ? Découvrez si Coros est compatible avec Garmin dans cet article !
Les attaques possibles : un arsenal terrifiant
Manipulation à distance des appareils
Les capacités destructrices révélées par cette découverte dépassent largement ce que l’on pourrait imaginer pour une simple montre de sport. Les pirates peuvent modifier la configuration de l’appareil COROS à distance, transformant potentiellement la montre en un outil de surveillance ou de désinformation.
La possibilité d’effectuer une réinitialisation d’usine à distance représente une menace particulièrement vicieuse. Imaginez perdre instantanément des années d’historique sportif, de records personnels et de données d’entraînement sans aucun moyen de récupération.
Sabotage des activités sportives
L’aspect le plus pervers de ces vulnérabilités concerne directement l’usage principal de ces montres. Les attaquants peuvent interrompre un enregistrement d’activité en cours et effacer les données déjà capturées. Cette capacité ouvre la porte à du sabotage sportif, particulièrement problématique lors de compétitions officielles.
Le simple fait de pouvoir faire planter la montre à distance transforme chaque sortie en roulette russe technologique. Les utilisateurs se retrouvent à la merci de toute personne malveillante équipée d’un smartphone et des bons outils.
Découvre les meilleures marques de trail running chez i-Run : chaussures, textile, nutrition… tout ce qu’il te faut pour performer sur les sentiers.
⚡ Voir les nouveautés i-RunLa réaction décevante de COROS
Quatre mois de silence radio
L’attitude de COROS face à cette révélation soulève des questions majeures sur la gouvernance de la sécurité chez le constructeur chinois. Contactée par SySS Security, la marque a accusé réception des informations transmises mais n’a pris aucune mesure concrète durant les 90 jours réglementaires.
Cette période de grâce, tacitement respectée par les chercheurs en sécurité, permet normalement aux entreprises de corriger les vulnérabilités avant leur divulgation publique. COROS n’a pas respecté ce délai, forçant SySS à rendre publiques ses découvertes.
« COROS n’a rien fait durant ces 90 jours. La marque n’a pas informé ses clients, propriétaires d’une montre vulnérable » – Rapport SySS Security
Non-respect des obligations légales
Plus grave encore, COROS semble avoir violé le RGPD européen en ne déclarant pas cette faille dans les délais légaux. La réglementation impose aux entreprises de notifier les autorités compétentes dans les 72 heures suivant la découverte d’une fuite potentielle de données personnelles.
Cette négligence expose COROS à des sanctions financières considérables et révèle une approche cavalière de la protection des données de ses utilisateurs européens.
Un réveil tardif sous la pression médiatique
Ce n’est qu’après l’intervention de DC Rainmaker que COROS a finalement réagi avec plus de sérieux. La marque annonce désormais un planning de correction étalé sur deux mois : correction de la stack Bluetooth de bas niveau d’ici fin juillet, puis sécurisation des communications de haut niveau d’ici fin août.
Cette réaction tardive soulève des interrogations sur la sincérité de l’engagement sécuritaire de l’entreprise. Fallait-il vraiment attendre une pression médiatique pour obtenir une réponse construite ?
Toute la gamme COROS compromise
Une contamination généralisée
L’ampleur du problème dépasse largement la seule Pace 3 initialement testée. COROS confirme officellement que l’ensemble de sa gamme utilise le même code défaillant. Cette standardisation, normalement synonyme d’efficacité, devient ici un cauchemar sécuritaire.
Montres de trail, montres de triathlon, compteurs vélo Dura : aucun produit COROS n’échappe à ces vulnérabilités. Les utilisateurs de COROS Apex, Vertix, Pace ou autres modèles se retrouvent tous logés à la même enseigne.
Un héritage empoisonné
Cette contamination généralisée suggère que le problème remonte aux premiers modèles de la marque. Des années de développement basées sur des fondations défaillantes expliquent cette propagation massive des vulnérabilités.
Quentin, 26 ans, passionné de trail : suivez mes aventures au cœur des sentiers, entre défis sportifs et communion avec la nature.
