Personne n’échappe au pouvoir du côté obscur des hackers, pas même BB-8. Le petit robot rondouillard et si mignon de Star Wars : Le Réveil de la Force a été répliqué en version jouet connecté (et roulant) par Sphero. Malheureusement, le constructeur n’a pas pensé à sécuriser suffisamment le mécanisme de mise à jour de l’appareil, qui est susceptible d’offrir une porte dérobée aux pirates du Premier Ordre.
Les chercheurs de Pen Test Partners ont mis au jour une faille dans le processus de mise à jour du firmware, qui passe par une simple adresse HTTP. Néanmoins, pas de panique : le vibrionnant petit robot ne collectant aucune donnée privée, son piratage ne rapportera pas grand chose aux sbires de Kylo Ren. Ces derniers pourront seulement modifier les fichiers sons de BB-8, ce qui éventuellement fera peur aux enfants.
Toutefois, les fonctionnalités du droide pouvant évoluer avec le temps, Sphero gagnera à sécuriser davantage le mécanisme de mise à jour. Imaginons qu’une future version de BB-8 intègre une caméra (une des doléances de notre test), les forbans du côté obscur gagneraient un accès direct à ce composant. Une autre vulnérabilité frappe le produit : la connexion Bluetooth entre le jouet et l’iPhone n’utilise pas de PIN ; c’est le cas pour de nombreux autres jouets du même genre. Les chercheurs ont prévenu le constructeur de la faille, qui a confirmé qu’il allait utiliser le SSL pour ses prochaines versions.
