Une faille de sécurité découverte dans les lunettes Google Glass

Lookout, société spécialisée dans les solutions de sécurité pour téléphones mobiles, a dévoilé une faille de sécurité dans les lunettes Google Glass, transmise à Google et corrigée depuis par l'éditeur.

Imaginez un appareil capable de traduire dans votre langue, en un clin d'œil, des menus écrits dans une autre langue étrangère. Imaginez un guide personnel qui identifie le bâtiment que vous êtes en train d'admirer, en vous relatant son histoire. Avec le système Glass, la technologie de reconnaissance optique des caractères qui permet à un ordinateur de lire des textes imprimés, fait figure d'antiquité. Chaque fois que vous prenez une photo, Glass recherche des données reconnaissables, les plus évidentes étant les QR codes, un type de code-barres contenant par exemple des instructions d'envoi de SMS ou d'accès à un site web hébergeant des éléments capables de modifier les paramètres de l'appareil. Google a tiré parti de ces possibilités pour permettre aux utilisateurs de configurer facilement leurs lunettes Google Glass sans l'aide d'un clavier.

C'est à ce niveau que Lookout a identifié un problème de sécurité de taille. S'il est pratique de pouvoir configurer un QR code pour le système Glass et de se connecter facilement à des réseaux sans fil, il en va tout autrement si d'autres personnes peuvent se servir des mêmes QR codes pour commander aux Google Glass de se connecter au réseau Wi-Fi ou à des appareils Bluetooth de leur choix. Mais c'est malheureusement possible. Nous avons réussi à concevoir des QR codes basés sur les instructions de configuration, obtenant ainsi nos propres QR codes malveillants. Une fois photographié par un porteur de lunettes Google Glass, ce code a ordonné au système Glass de se connecter furtivement à un point d'accès Wi-Fi piégé géré par nos soins. Ce point d'accès nous a ainsi permis d'épier les connexions des Google Glass, qu'il s'agisse de requêtes en ligne ou d'images téléchargées sur le Cloud. Nous avons également été en mesure de diriger le système Glass vers une page contenant une vulnérabilité connue d'Android (version 4.0.4), nous permettant de le pirater pendant qu'il parcourait ladite page.

Les Google Glass ont donc été piratées par l'image d'un QR code malveillant. Cette vulnérabilité et la façon de procéder sont exclusives à Glass ; elles sont la conséquence de son appartenance à la catégorie des objets connectés.

• Lookout a informé Google de ses découvertes le 16 mai dernier. Google a pris acte et ouvert un ticket (pour bug) auprès de l'équipe de développement du système Glass. La faille a été comblée avec la version XE6, publiée le 4 juin. Lookout a recommandé à Google d'enclencher l'exécution des QR codes sur demande de l'utilisateur..