Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Bringrr, comment pervertir un outil pour retrouver les objets égarés ?

Bringrr, comment pervertir un outil pour retrouver les objets égarés ?

Je parlais hier des produits conçus par des gens pleins de bonne volonté qui ne pensent pas aux possibilités d’abus que l’on peut faire de leurs technologies. Voilà un bel exemple.

Le dispositif branché dans l’allume-cigare bip lorsque vous oubliez un objet sur lequel vous avez placé un badge “Bringrr”. Jusque là rien de dangereux. Par contre, il y a aussi une fonction “objet perdu”. L’exemple donné dans la publicité est un Bringrr placé sur un collier pour chat.

  1. Le chat s’est enfui de l’appartement, vous ne savez pas ou il est et donc vous déclarez le Bringrr comme perdu.
  2. À partir de ce moment, tous les utilisateurs de Bringrr ont leur smartphone qui se met activement à chercher le fameux badge.
  3. Dès qu’un utilisateur de Bringrr passe à proximité du badge perdu, il vous envoie une notification de sa position.
  4. Dès que vous avez une population d’utilisateur de Bringrr suffisamment grande dans un milieu urbain, vous pouvez donc… suivre à la trace un Bringrr arbitraire déclaré comme perdu.
  5. Il ne vous restera plus qu’à le glisser subrepticement dans la poche ou le sac à main d’une personne innocente pour la suivre à la trace à moindre coup !

Et pourtant on sent que les créateurs ont un minimum réfléchi aux abus possibles et aux conséquences sur la vie privée, on retrouve notamment deux questions dans leur FAQ à ce sujet :

Q: If my Bringrr or Bringrr App updates the location of someone else’s BringTag, will they be able to see my location? A: No. You will not know when this happens, the other users BringTag location is sent discreetly and anonymously to our cloud servers. Then the Bringrr cloud servers send the BringTag location update to the owner, and none of your Bringrr account information or location will be shared with them. All that person will receive is a GPS location of their BringTag.

Q: If my Bringrr or Bringrr App updates the location of someone else’s BringTag, will they be able to see my location? A: No. You will not know when this happens, the other users BringTag location is sent discreetly and anonymously to our cloud servers. Then the Bringrr cloud servers send the BringTag location update to the owner, and none of your Bringrr account information or location will be shared with them. All that person will receive is a GPS location of their BringTag.

Ils n’ont malheureusement pas pensé à tout. Ou alors ils y ont pensé, mais sans solution intéressante, ont préféré ne pas mentionner ce point dans leur FAQ 😉

Une solution à ce problème serait de faire émettre un son par le Bringrr dès que celui-ci s’approche d’un téléphone avec l’application lorsque celui-ci est tagué comme perdu. Il est possible de faire sonner un tag sur commande à partir du moment où il est à portée, cela peut donc facilement être implémenté. Alors certes, la personne sur laquelle on aura placé le Bringrr sera toujours géolocalisée, mais le bruit l’alertera et l’amènera à chercher d’où vient le son. Elle découvrira probablement l’objet et le jettera, en restant silencieux il sera possible de tracer la personne pendant un bon moment.

Vos réactions