Disponibles sur Amazon, eBay ou Alibaba, les trackers GPS se démocratisent de plus en plus. Pour quelques dizaines d’euros, il est désormais possible d’avoir un mouchard made in China qui vous permet de surveiller les déplacements de votre enfant, votre chien ou votre voiture.
Le chercheur en sécurité Martin Hron d’Avast s’est penché sur le sujet et a découvert que bon nombre de ces appareils s’appuient en fait sur la même plate-forme technique et que celle-ci n’apporte quasiment aucune sécurité.
Ni chiffrement, ni authentification
Toutes les communications qui passent entre le capteur, le cloud et l’application Web/mobile ne sont ni chiffrées ni authentifiées. Quant aux identifiants qui permettent de géolocaliser le mouchard sur une carte, ils sont assez faciles à deviner. Le login est un banal numéro de série et le mot de passe est souvent préconfiguré, par exemple « 123456 ».
En faisant varier le numéro de série, il est donc possible de se connecter directement à des trackers utilisés par d’autres personnes. Sur un million d’appareils scannés, le chercheur a trouvé 231 000 qui avaient un mot de passe par défaut. Et parmi eux, 167 000 étaient directement géolocalisables. Tous ces appareils se répartissaient dans 29 modèles différents. Le plus inquiétant est que cet inventaire n’est probablement qu’une partie émergée de l’iceberg, estime le chercheur.
La porte ouverte à tous les débordements
Que peut faire une personne malintentionnée avec une telle architecture bancale ? Beaucoup de choses, à commencer par le verrouillage de l’appareil. Pour cela, il suffit de changer le mot de passe. Cela peut même se faire avant que l’appareil ne soit vendu. Comme rien n’est chiffré ni authentifié, il est également trivial de falsifier la position d’un tracker. Il suffit d’envoyer la bonne commande au cloud.
On peut également envoyer des commandes au tracker directement par SMS. Pour communiquer avec le cloud, l’appareil dispose en effet d’une carte SIM GSM/GPRS. Trouver ce numéro n’est pas difficile. A partir du moment où on accède au compte en ligne, il suffit que le pirate envoie un SMS vers son propre portable. Si le mouchard dispose en plus d’un microphone, il peut également espionner l’environnement sonore de la cible. Il suffit, pour cela, qu’il initie un appel en douce vers son propre téléphone. Si le tracker est doté d’une caméra, on peut facilement télécharger les images.
Une analyse similaire des capteurs GPS d’origine chinoise a été faite il y a quelques mois par les chercheurs Pierre Barre, Chaouki Kasmi et Eiman Al Shehhi. Ils ont présenté leur travail en juin dernier, à l’occasion de la conférence Hack in Paris 2019.
Source : Avast
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
