Passer au contenu

Des centaines de milliers de trackers GPS peuvent être piratés à distance et tout dire de vos vies

Beaucoup de fournisseurs de ces trackers s’appuient, en réalité, sur une seule et même plate-forme technique, basée en Chine et criblée de failles de sécurité.

Disponibles sur Amazon, eBay ou Alibaba, les trackers GPS se démocratisent de plus en plus. Pour quelques dizaines d’euros, il est désormais possible d’avoir un mouchard made in China qui vous permet de surveiller les déplacements de votre enfant, votre chien ou votre voiture.
Le chercheur en sécurité Martin Hron d’Avast s’est penché sur le sujet et a découvert que bon nombre de ces appareils s’appuient en fait sur la même plate-forme technique et que celle-ci n’apporte quasiment aucune sécurité.

Ni chiffrement, ni authentification

Toutes les communications qui passent entre le capteur, le cloud et l’application Web/mobile ne sont ni chiffrées ni authentifiées. Quant aux identifiants qui permettent de géolocaliser le mouchard sur une carte, ils sont assez faciles à deviner. Le login est un banal numéro de série et le mot de passe est souvent préconfiguré, par exemple « 123456 ».
En faisant varier le numéro de série, il est donc possible de se connecter directement à des trackers utilisés par d’autres personnes. Sur un million d’appareils scannés, le chercheur a trouvé 231 000 qui avaient un mot de passe par défaut. Et parmi eux, 167 000 étaient directement géolocalisables. Tous ces appareils se répartissaient dans 29 modèles différents. Le plus inquiétant est que cet inventaire n’est probablement qu’une partie émergée de l’iceberg, estime le chercheur.

Avast – Données GPS de trackers analysés

La porte ouverte à tous les débordements

Que peut faire une personne malintentionnée avec une telle architecture bancale ? Beaucoup de choses, à commencer par le verrouillage de l’appareil. Pour cela, il suffit de changer le mot de passe. Cela peut même se faire avant que l’appareil ne soit vendu. Comme rien n’est chiffré ni authentifié, il est également trivial de falsifier la position d’un tracker. Il suffit d’envoyer la bonne commande au cloud.

On peut également envoyer des commandes au tracker directement par SMS. Pour communiquer avec le cloud, l’appareil dispose en effet d’une carte SIM GSM/GPRS. Trouver ce numéro n’est pas difficile. A partir du moment où on accède au compte en ligne, il suffit que le pirate envoie un SMS vers son propre portable. Si le mouchard dispose en plus d’un microphone, il peut également espionner l’environnement sonore de la cible. Il suffit, pour cela, qu’il initie un appel en douce vers son propre téléphone. Si le tracker est doté d’une caméra, on peut facilement télécharger les images.

Avast – Architecture typique d’un système de tracker GPS

Une analyse similaire des capteurs GPS d’origine chinoise a été faite il y a quelques mois par les chercheurs Pierre Barre, Chaouki Kasmi et Eiman Al Shehhi. Ils ont présenté leur travail en juin dernier, à l’occasion de la conférence Hack in Paris 2019.

GK – Chaouki Kasmi et Pierre Barre, à la conférence Hack in Paris 2019
Leurs conclusions étaient plus ou moins identiques. « Ces trackers sont partout, chez les particuliers, mais aussi dans le monde industriel. C’est une énorme fuite d’informations qui permet le suivi de personnes, mais aussi la cartographie d’infrastructures », nous avait alerté Chouaki Kasmi, suite à cette présentation. Bref, ces appareils sont absolument à fuir.

Source : Avast   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn