Alyssa BiotUne faille de sécurité dans le système d’exploitation des trottinettes électriques Xiaomi M365 permet de contrôler à distance les engins à l’aide d’un smartphone. C’est le spécialiste en cybersécurité Zimperium qui a révélé sur son blog l’existence de cette vulnérabilité, après l’avoir signalée au constructeur. L’entreprise a d’ailleurs posté une vidéo de démonstration sur YouTube qui montre un hacker armé d’un téléphone diriger cet engin, plus connu en France sous le nom de Mi Scooter.
Le système bluetooth en cause
Les experts du numérique expliquent que le bluetooth est à l’origine de cette faille. Ce système permet en effet de contrôler une grande partie des fonctionnalités de la M365 comme le système antivol, l’actualisation des programmes ou la variation de la vitesse.
Or, si l’app mobile téléchargée par les utilisateurs est protégée par un mot de passe, ce n’est pas le cas du module bluetooth. Un hacker est donc susceptible de pouvoir bloquer l’engin, le faire accélérer ou encore voler les données liées à son utilisation.
Xiaomi assure préparer une mise à jour
La faille « pourrait avoir des implications sur tous les services de transports qui utilisent les trottinettes de Xiaomi et qui n’ont ni désactivé ni remplacé le module bluetooth », s’inquiète dans The Verge Rani Idan, responsable chez Zimperium. Le problème concernerait également les véhicules de la marque chinoise vendus ou exploités sous d’autres noms.
Xiaomi a fait savoir que cette vulnérabilité était un « problème connu en interne ». « Les équipes produits et sécurité de Xiaomi préparent une mise à jour qui sera disponible au plus vite », ont assuré les responsables de l’entreprise, interrogés par Numerama. Les ingénieurs de la société ont «commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée».
