La même clé pour toutes les unités : Des chercheurs en sécurité ont piraté les smartwatches Xplora

Xplora est considéré comme le leader du marché des smartwatches pour enfants. L'entreprise norvégienne fait une publicité agressive sur les normes de sécurité les plus élevées et la transparence. En Norvège, près d'un enfant sur cinq âgé de 4 à 10 ans porte un tel dispositif. Cependant, la réalité qui se cache derrière la façade marketing est plutôt sombre, comme le montrent les enquêtes https://media.ccc.de/v/39c3-watch-your-kids-inside-a-children-s-smartwatch#t=302 de l'université allemande TU Darmstadt.

Un étudiant en master s'attaque au leader du marché

Dans le cadre de son mémoire de maîtrise, Malte Vu a examiné une montre Xplora actuelle sous la supervision de Nils Rollshausen. Le temps nécessaire à la première brèche a été étonnamment court. En quelques jours, ils ont réussi à activer le mode développeur de la montre, protégé par un code PIN, et à extraire le logiciel. Malte Vu a déchiffré manuellement le code PIN requis en quelques heures seulement.

L'analyse qui a suivi a révélé une faille de sécurité fondamentale, les chercheurs ayant trouvé une clé cryptographique générale identique sur tous les appareils du même type.

Accès en masse via l'IMEI

Cette clé universelle permet d'accéder en profondeur aux données. Les attaquants n'ont besoin que du numéro IMEI de la montre en question, qui est un numéro d'identification à 15 chiffres. Les 8 premiers chiffres sont identiques pour toutes les unités d'un modèle spécifique, suivis d'un numéro de série à 6 chiffres et d'un seul numéro de contrôle à la fin.

Dans sa présentation au 39C3, Rollshausen a illustré la simplicité d'un balayage automatisé de l'ensemble de la gamme IMEI d'un fabricant. Un tel programme pourrait théoriquement lire les données de tout l'inventaire des montres. Les conséquences sont énormes, car des inconnus peuvent lire des conversations privées, intercepter des images et des notes vocales ou même manipuler la localisation. Il est même possible d'envoyer de faux messages à l'application parentale au nom de l'enfant. Les canaux de communication seraient également ouverts dans les deux sens.

Des réactions hésitantes et des mises à jour sans amélioration

Bien que Xplora ait été informée de ces vulnérabilités dès le mois de mai 2025, la prise de mesures appropriées a pris beaucoup de temps. Une première mise à jour en août s'est contentée d'augmenter la longueur du code PIN à 6 chiffres et de limiter le nombre de tentatives infructueuses. Il semble que le fabricant ait voulu empêcher les chercheurs et les pirates d'accéder au mode développeur.

La faille de sécurité proprement dite, à savoir la clé universelle, est restée en place. Le fabricant ayant cessé de répondre aux demandes de renseignements en octobre, les chercheurs ont fait appel à l'Office fédéral allemand de la sécurité de l'information.

Un peu d'espoir pour janvier 2026

Une autre mise à jour effectuée à la fin du mois d'octobre n'a pas non plus apporté de correctif, et de petites modifications de l'exploit ont suffi à rétablir l'accès complet. Xplora a maintenant annoncé une mise à jour de sécurité complète pour janvier 2026. Il est fortement recommandé d'installer cette mise à jour dès sa publication. Après plusieurs appels téléphoniques avec le fabricant à la fin du mois de décembre 2025, Rollshausen s'attend à une solution appropriée.

À titre d'expérience technique, Rollshausen a montré une autre solution. Il a installé la messagerie sécurisée Signal directement sur la montre. Cela illustre le problème principal : les parents doivent actuellement décider s'ils font confiance à la sécurité annoncée par le fabricant ou s'ils choisissent manuellement un autre canal de communication protégé.