Les produits COROS sont vulnérables à plusieurs attaques informatiques
Les affaires de problèmes informatiques, de fuites de données ou de grosses problématiques de sécurité ne sont, heureusement, pas légion dans le monde des montres cardio GPS ou des gadgets de sport. Mais cela ne signifie pas, bien au contraire, que ces produis sont exempts de problèmes ou de failles. Et c’est ce que vient nous rappeler cette affaire, dévoilée par SySS Security, une firme de sécurité allemande sur son blog, information relayée et complétée par DC Rainmaker. Mais qu’est-ce que tout cela veut dire, quels sont les risques concrets avec un appareil COROS?
Contenu de l’article
Soutenir le site
Vous appréciez les contenus de nakan.ch? Vous souhaitez soutenir le site, tout en vous équipant avec les dernières nouveautés en matière de technologie sportive? En utilisant le lien sur l'un des logos ci-dessous, vous soutenez la réalisation de futurs tests de matériel sur le site! Et cela ne vous coûte rien de plus!
Une vulnérabilité est découverte dans la gestion Bluetooth de la COROS Pace 3
Tout part de la COROS Pace 3, car c’est l’appareil qui est utilisé par les spécialistes en sécurité informatique de SySS Security. Et sur cet appareil, c’est ce que l’on nomme la « Stack Bluetooth », c’est à dire l’ensemble du code informatique qui permet à la montre de communiquer en Bluetooth, dans laquelle il est trouvé 8 vulnérabilités, listées ci-dessous, avec en référence, pour les spécialistes, leur CVE respective:
| Vulnerability Type | SySS ID | CVE ID |
|---|---|---|
| Use of a Broken or Risky Cryptographic Algorithm (CWE-327) | SYSS-2025-023 | CVE-2025-32876 |
| Improper Authentication (CWE-287) | SYSS-2025-024 | CVE-2025-32877 |
| Cleartext Transmission of Sensitive Information (CWE-319) | SYSS-2025-025 | CVE-2025-32875 |
| Missing Authentication for Critical Function (CWE-306) | SYSS-2025-026 | CVE-2025-32879 |
| NULL Pointer Dereference (CWE-476) | SYSS-2025-027 | CVE-2025-48705 |
| Out-of-bounds Read (CWE-125) | SYSS-2025-028 | CVE-2025-48706 |
| Cleartext Transmission of Sensitive Information (CWE-319) | SYSS-2025-029 | CVE-2025-32880 |
| Improper Certificate Validation (CWE-295) | SYSS-2025-030 | CVE-2025-32878 |
Ces 8 vulnérabilités sont toutes des vulnérabilités importantes. Elles sont classée MEDIUM (3), HIGH (2) et même CRITICAL (3), ce qui est le niveau le plus élevé. Cela signifie que certaines d’entre elles peuvent être exploitées à distance sans aucune interaction de la part du propriétaire de la montre. Mais qu’est-ce que tout cela signifie au juste? Voici ce qu’il est possible de faire en exploitant ces vulnérabilités:
- Accéder au compte COROS de la victime de l’attaque et en extraire l’intégralité des données
- Intercepter des données confidentielles, comme les notifications du smartphone, ou envoyer de fausses notifications
- Modifier la configuration de l’appareil COROS à distance
- Effectuer une réinitialisation d’usine d’un appareil COROS à distance
- Faire planter l’appareil COROS à distance
- Interrompre un enregistrement d’activité sportive et effacer les données enregistrées
Il y a donc 8 vulnérabilités différentes, qui, exploitées, peuvent mener à ces 6 situations désagréables. Des exemples de code (exploits) pour mener à bien ces 6 attaques sont disponibles, ainsi que le listing des vulnérabilités, sur le blog de SySS.
COROS confirme, et généralise les vulnérabilités à tous ses appareils
La société SySS a contacté COROS et a informé des vulnérabilités. COROS a confirmé avoir reçu l’information, mais ne semble pas avoir pris immédiatement la mesure de ce qui venait de leur être annoncé. La marque ne semble pas avoir pris de mesures concrètes dans le délai tacite de 90 jours, qui est généralement la norme « entendue » entre les société de sécurité et les éditeurs logiciels ou autres compagnies. En général, les société de sécurité annoncent les vulnérabilités puis attendent 90 jours avant d’en publier les détails.
Ce qui est inquiétant ici, c’est que COROS n’a rien fait durant ces 90 jours. La marque n’a pas informé ses clients, propriétaires d’une montre vulnérable et n’a vraisemblablement pas fait d’annonce RGPD. Ceci est pourtant obligatoire dans un délai de 72 heures après avoir découvert une fuite, avérée ou potentielle, de données personnelles de citoyens de l’UE (que COROS compte de toute évidence parmi ses clients).
Enfin, COROS a répondu dans un premier temps laconiquement que le problème serait corrigé « fin 2025 » à la société SySS.
Mais après avoir été contactés par DC Rainmaker, COROS a donné des précisions, et semble avoir entre temps pris la mesure du problème. La marque décrit clairement les opérations de correction de ces vulnérabilités (la première partie, soit la stack Bluetooth de bas niveau, d’ici fin juillet, et la sécurisation des communication Bluetooth de haut niveau d’ici fin août).
De plus COROS confirme que la Pace 3 n’est pas le seul modèle touché, mais que l’ensemble des montres ainsi que le compteur Dura utilisent le même code, possiblement depuis les premiers modèles de montres COROS. L’ensemble de la gamme est concernée.
Que faire si on possède une montre COROS?
A ce stade, il n’y a pas grand chose à faire, sinon espérer que le problème sera vite corrigé, et appliquer les mises à jour dès qu’elles seront disponibles. Afin d’éviter tout risque lié à la fuite ou à l’intégrité des données de son compte COROS, la recommandation la plus évidente serait d’éteindre la montre, et de ne la rallumer que lorsqu’un correctif sera disponible, l’appliquer, et reprendre son utilisation. Une autre mesure serait de désactiver le partage des notifications sur le téléphone avec la montre COROS, et de désactiver les notifications sur la montre afin d’éviter de recevoir de fausses notifications, ou de partager celles du téléphone avec un potentiel attaquant.
Car il n’est pas possible de désactiver le Bluetooth sur les montres COROS: elles sont dépourvues de mode avion. Ce qui rend possible en tous les cas la possibilité de faire planter la montre à distance. Pas marrant, si des petits malins se positionnent cet été aux abords des courses pour planter les pauvres propriétaires de montres COROS…
Cela montre que tout le monde est concerné
Cela fait presque 5 ans jours pour jours que Garmin a vu Garmin Connect (et l’ensemble de son système informatique interne) pris en otage par une attaque de ransomware. Et comme le prouve l’industrie informatique, jour après jour, personne n’est à l’abri. Hier Garmin, aujourd’hui COROS et demain? Cela montre surtout qu’il aura fallu à COROS 4 mois pour prendre la pleine conscience de l’impact, et du potentiel de cette problématique. Et nous (clients ou utilisateurs de produits COROS), attendons encore une communication de la part de COROS. Il n’est pas normal qu’un utilisateur de produits, quel qu’il soit, et surtout pour une marque qui peut très facilement identifier et contacter ses clients, soit informé de ces problématiques sur un site tiers…
Affaire à suivre donc.
Rédiger des tests et des articles sur la technologie dans le sport est une passion dévorante! Cela fait plus de 12 ans que je le fais en marge de mon activité professionnelle et sportive.Je ne compte pas mon temps, et je ne suis absolument pas rémunéré par les marques pour le faire.
En passant par l'un des liens ci-dessous pour réaliser votre prochaine commande en ligne, je touche une petite commission sur la transaction, vous soutiendrez le site, et cela ne vous côutera pas plus cher!
Vous pouvez également soutenir le site au travers de la plateforme "Buy Me a Coffee" ou d'autres moyens de soutenir le site sur cette page. Je vous en remercie beaucoup!
Pour tout savoir sur ma politique de publication et de publicité sur le site, rendez-vous ici!
