La marque, précurseure des balises connectées permettant de localiser ses objets, a laisser s’échapper des données personnelles d’utilisateurs.
Le site 404 Media révèle que Life360, le propriétaire de la marque Tile depuis 2021, a subi un piratage ayant mené au vol de données clients dont la nature demeure floue. Après la publication de l’article, l’entreprise a bel et bien confirmé avoir été victime d’une cyberattaque.
L’ampleur du piratage demeure inconnue
Plusieurs détails importants manquent pour comprendre exactement les contours du piratage, notamment quand il a eu lieu. Toutefois, 404 Media a pu s’entretenir directement avec le responsable de l’attaque, qui explique avoir utilisé un outil interne à l’entreprise après avoir obtenu les identifiants de connexion d’une personne employée par Life360. Un mode opératoire qui rappelle celui du piratage de la CAF plus tôt cette année.
Chris Hulls, PDG de Tile, explique dans un communiqué (page hors ligne au moment de la publication, ndlr) que les numéros de carte bancaire, les mots de passe, les identifiants de connexion ou encore les données de localisation ne font pas partie des données qui ont pu être acquises par le pirate. On imagine donc que seules les adresses email, voire les adresses postales, sont concernées. Des données qui n’en sont pas moins précieuses pour les pirates, qui peuvent les vendre à prix d’or sur le dark web afin de monter de grandes opérations de phishing.
« Nous avons pris et continuerons à prendre des mesures destinées à mieux protéger nos systèmes contre les acteurs malveillants, et nous avons signalé cet événement et la tentative d’extorsion aux forces de l’ordre », ajoute le chef d’entreprise, qui se refuse pourtant à dire exactement combien des quelque 20 millions d’utilisateurs et d’utilisatrices de Tile sont concernés par ce piratage.
Les objets connectés régulièrement cibles de piratages
Le piratage qu’a subi la marque de traceurs connectés n’est qu’une énième preuve que les objets connectés, bien que particulièrement discrets, peuvent être des vecteurs de piratages privilégiés par les cybercriminels. Et les exemples ne manquent pas.
Ces dernières années, des pirates ont notamment pu obtenir l’accès à des caméras de surveillance Ring en 2019. La même année, les thermostats connectés Nest ont également pu être modifiés à distance par des pirates ayant obtenu les identifiants de leurs propriétaires. Les enceintes connectées Amazon Echo ont aussi pu être détournées grâce à l’installation de scripts malveillants via l’assistant vocal Alexa.
Il est donc particulièrement important d’être rigoureux dans la création de comptes associés à des objets connectés. Même le plus anodin peut faire office de porte d’entrée pour des pirates, qui peuvent ensuite remonter le flux de données leur donnant accès à des informations potentiellement sensibles. Comme d’habitude, notre conseil reste le même : utilisez un gestionnaire de mots de passe pour l’ensemble de vos comptes en ligne.
À lire aussi
