En prenant la main sur un tracker GPS, un pirate peut suivre les mouvements d'une personne, mais aussi repérer le tracker ou identifier son numéro de téléphone. © Andrey Popov, Fotolia

Tech

Cybersécurité : 600.000 trackers GPS sont menacés par leur mot de passe

ActualitéClassé sous :Sécurité , Automobile , hacking

Utilisé par défaut sur des centaines de milliers de boîtiers GPS, le mot de passe « 123456 » peut être exploité par des pirates. Les dangers sont multiples, selon Avast qui en a fait la découverte.

Les mots de passe simples sont à l'origine de nombreux piratages de boîtes email ou de comptes sur les réseaux sociaux, et ils n'épargnent pas non plus des fabricants de matériel. Ainsi Avast, le célèbre éditeur d'antivirus, a découvert que i365-Tech, fabricant de trackers GPS, utilisait le même mot de passe « 123456 » pour tous ses produits.

Au total, cela représenterait 600.000 appareils dans le commerce. Des pirates pourraient utiliser ce mot de passe pour en prendre le contrôle car le fabricant utilise le cloud et une application mobile pour faire communiquer le tracker avec son utilisateur.

Le signal entre le tracker et l'opérateur de téléphonie est ensuite envoyé dans le cloud. Avec le mot de passe, le pirate prend le contrôle sur toute la chaîne des échanges. © Avast

Une faille pas encore corrigée

Un tracker est un petit boîtier doté d'une puce GPS ; il permet ainsi de surveiller des enfants, des personnes âgées ou même une voiture. Il peut être placé n'importe où, et en cas de problème, la personne appuie sur un bouton qui permet de signaler son emplacement, à distance, via SMS. En l'occurrence, en piratant le mot de passe, des hackers pourraient très bien espionner des particuliers dans leur quotidien, ou même en prendre le contrôle en changeant le mot de passe.

Ce que Avast a aussi découvert, c'est que cette « faille » était aussi présente sur des dizaines d'autres modèles, conçus par le même fabricant, mais vendus sous d'autres marques. Autre problème identifié : les pirates peuvent obtenir le numéro de téléphone lié à la carte SIM du tracker. Contacté par Avast suite à cette découverte, le fabricant chinois n'a pour l'instant pas répondu ni alerté les possesseurs de ces petits boîtiers qui ne coûtent que quelques dizaines d'euros.

Pour en savoir plus

Un hacker peut immobiliser les voitures en piratant le GPS

Un pirate est parvenu à récupérer les mots de passe de milliers de comptes de deux applications GPS utilisées en voiture. À distance, il pourrait couper le moteur d'une voiture avec les dommages que cela pourrait causer pour le conducteur et la circulation.

Publié le 25/04/2019 par Fabrice Auclert

Plus les objets sont connectés, plus le risque est grand de les voir piratés. Ce problème s'applique également aux voitures. Un hacker, qui utilise le pseudo L&M, aurait déjà eu accès aux systèmes via plus de 27.000 comptes compromis. Il aurait ainsi la possibilité de prendre le contrôle de plusieurs centaines de milliers de véhicules à travers le monde, notamment dans des pays comme l'Afrique du Sud, le Maroc, l'Inde et les Philippines.

La faille concerne deux applications de GPS, iTrack et ProTrack, utilisées par les entreprises pour suivre leur parc automobile à la trace. Le problème ne provient pas d'une erreur dans le code qui laisserait une porte d'accès. Il s'agit, comme trop souvent, d'une erreur humaine. Les applications implémentent un mot de passe par défaut, qui n'a ensuite pas été changé par l'utilisateur. C'est un peu la même faille que pour le piratage récent des stations essence en France.

De nombreuses données personnelles volées

L&M s'est servi de l'API des deux applications pour générer des millions de noms d'utilisateurs. Ensuite, il lui a fallu un simple script pour essayer de s'identifier sur tous ces comptes avec le mot de passe par défaut, 123456. Selon le hacker, il aurait eu accès ainsi à plus de 7.000 comptes iTrack et 20.000 comptes ProTrack. Les deux applications utilisent une interface similaire et le même mot de passe par défaut, et sont donc très certainement basées sur le même code source.

Il a pu ainsi avoir accès à bon nombre d'informations, dont le nom et le modèle et l'IMEI du système GPS, les noms d'utilisateurs, les noms et prénoms, numéros de téléphone, adresses e-mail et même adresses postales. L'affaire serait déjà assez grave, mais elle ne s'arrête pas là. Le hacker explique ainsi : « Je peux absolument créer de gros problèmes de circulation partout dans le monde. J'ai le contrôle de centaines de milliers de véhicules, et d'un geste je peux arrêter leurs moteurs. »

L'application iTrack propose une version d'essai où l'identifiant est Demo et le mot de passe 123456. © iTrack

Un hacker pourrait couper le moteur de centaines de milliers de véhicules

Les applications offrent en effet une option pour arrêter la voiture. Cette fonction a été confirmée par un représentant de Concox, un fabricant d'appareils GPS souvent utilisés avec les applications iTrack et ProTrack. Il est possible de couper le moteur à distance, à condition que la voiture soit à l'arrêt ou roule à moins de 20 km/h. L&M, le hacker, a accusé les deux firmes qui vendent l'application de faire passer le profit avant le reste : « Ma cible était l'entreprise, pas les clients. Les clients sont exposés à cause de l'entreprise. Elles ont besoin de faire de l'argent, et ne veulent pas sécuriser leurs clients. »

Nos confrères de Motherboard, qui ont pu échanger directement avec le hacker, ont contacté les éditeurs des deux applications pour plus d'informations. Ils ont obtenu une réponse de ProTrack, qui a nié les faits, mais a indiqué demander aux utilisateurs de changer leur mot de passe, tandis que l'éditeur d'iTrack n'a pas répondu. Cependant, L&M dit avoir pu négocier avec eux afin d'obtenir une récompense pour avoir découvert la faille.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi