En prenant la main sur les applications GPS, un pirate peut accéder aux itinéraires déjà enregistrés, mais aussi les modifier en temps réel et même arrêter le véhicule lorsqu'il roule lentement. © Andrey Popov, Fotolia

Tech

Un hacker peut immobiliser les voitures en piratant le GPS

ActualitéClassé sous :Sécurité , Automobile , hacking

Un pirate est parvenu à récupérer les mots de passe de milliers de comptes de deux applications GPS utilisées en voiture. À distance, il pourrait couper le moteur d'une voiture avec les dommages que cela pourrait causer pour le conducteur et la circulation.

Plus les objets sont connectés, plus le risque est grand de les voir piratés. Ce problème s'applique également aux voitures. Un hacker, qui utilise le pseudo L&M, aurait déjà eu accès aux systèmes via plus de 27.000 comptes compromis. Il aurait ainsi la possibilité de prendre le contrôle de plusieurs centaines de milliers de véhicules à travers le monde, notamment dans des pays comme l'Afrique du Sud, le Maroc, l'Inde et les Philippines.

La faille concerne deux applications de GPS, iTrack et ProTrack, utilisées par les entreprises pour suivre leur parc automobile à la trace. Le problème ne provient pas d'une erreur dans le code qui laisserait une porte d'accès. Il s'agit, comme trop souvent, d'une erreur humaine. Les applications implémentent un mot de passe par défaut, qui n'a ensuite pas été changé par l'utilisateur. C'est un peu la même faille que pour le piratage récent des stations essence en France.

De nombreuses données personnelles volées

L&M s'est servi de l'API des deux applications pour générer des millions de noms d'utilisateurs. Ensuite, il lui a fallu un simple script pour essayer de s'identifier sur tous ces comptes avec le mot de passe par défaut, 123456. Selon le hacker, il aurait eu accès ainsi à plus de 7.000 comptes iTrack et 20.000 comptes ProTrack. Les deux applications utilisent une interface similaire et le même mot de passe par défaut, et sont donc très certainement basées sur le même code source.

Il a pu ainsi avoir accès à bon nombre d'informations, dont le nom et le modèle et l'IMEI du système GPS, les noms d'utilisateurs, les noms et prénoms, numéros de téléphone, adresses e-mail et même adresses postales. L'affaire serait déjà assez grave, mais elle ne s'arrête pas là. Le hacker explique ainsi : « Je peux absolument créer de gros problèmes de circulation partout dans le monde. J'ai le contrôle de centaines de milliers de véhicules, et d'un geste je peux arrêter leurs moteurs. »

L'application iTrack propose une version d'essai où l'identifiant est Demo et le mot de passe 123456. © iTrack

Un hacker pourrait couper le moteur de centaines de milliers de véhicules

Les applications offrent en effet une option pour arrêter la voiture. Cette fonction a été confirmée par un représentant de Concox, un fabricant d'appareils GPS souvent utilisés avec les applications iTrack et ProTrack. Il est possible de couper le moteur à distance, à condition que la voiture soit à l'arrêt ou roule à moins de 20 km/h. L&M, le hacker, a accusé les deux firmes qui vendent l'application de faire passer le profit avant le reste : « Ma cible était l'entreprise, pas les clients. Les clients sont exposés à cause de l'entreprise. Elles ont besoin de faire de l'argent, et ne veulent pas sécuriser leurs clients. »

Nos confrères de Motherboard, qui ont pu échanger directement avec le hacker, ont contacté les éditeurs des deux applications pour plus d'informations. Ils ont obtenu une réponse de ProTrack, qui a nié les faits, mais a indiqué demander aux utilisateurs de changer leur mot de passe, tandis que l'éditeur d'iTrack n'a pas répondu. Cependant, L&M dit avoir pu négocier avec eux afin d'obtenir une récompense pour avoir découvert la faille.

  • Des applications GPS utilisent un mot de passe basique facile à pirater.
  • Un pirate a pris la main sur des milliers de comptes pour modifier à distance le GPS présent dans la voiture.
  • Une option permet même de couper le moteur de la voiture.
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi