in ,

Traceurs GPS : des milliers d’appareils comportent une faille critique

traceurs gps

La société de recherche en sécurité Fidus information Security a découvert une faille qui touche plusieurs dizaines milliers de traceurs GPS. Ceux-ci contiennent des microphones. Ils permettraient de suivre et d'écouter à distance leurs propriétaires.

Plusieurs fournisseurs dont Pebbell, SuresafeGo et OwFone Footprint revendent sous leur propre nom un traceur GPS fabriqué en . Prévu pour être distribué en marque blanche, ce dispositif permet de géolocaliser et de recevoir des messages d'urgence de la part d'enfants ou de grands-parents en difficulté.

Malgré l'aspect pratique de ces traceurs GPS, le concepteur n'a pas suffisamment renforcé la sécurité de son appareil. La société spécialisée dans le domaine Fidus Information Security explique que le dispositif utilise une carte SIM 2G/GPRS. Si l'on ne peut pas accéder aux par le biais de Shodan, il est tout à fait possible d'en prendre le contrôle par SMS.

Une manipulation d'une simplicité alarmante

La manipulation semble d'une simplicité alarmante. Il suffit d'envoyer un message avec un mot clé pour connaître la position en temps réel d'une personne et de l'écouter par le biais du microphone embarqué. Le cyberattaquant peut également désactiver le signal de la carte SIM à distance, rendant le dispositif inutile.

Le fabricant a pourtant intégré une protection de l'appareil par code PIN. Or, celle-ci n'est pas activée par défaut. Un individu mal intentionné peut alors réinitialiser les traceurs GPS et ainsi déclencher d'autres commandes. Les chercheurs affirment que l'on peut retirer la détection de chutes, enlever les contacts d'urgence, mettre en silence les notifications de mouvements ou encore éteindre l'appareil.

Seule condition pour réussir une telle opération, connaître le numéro de téléphone lié à l'objet. Or, les analystes avaient accès à un de ces identifiants confiés par un utilisateur d'un dispositif. Ils ont imaginé que dans ce schéma d'attaque, les numéros avaient été achetés en lot.

Fidus recommande un rappel des traceurs GPS

Après 2500 messages envoyés à des contacts de la même série, ils ont réussi à atteindre 175 appareils, soit 7 % du total. Un simple script codé en Python et deux heures leur a suffi. De même, les différentes commandes postées par SMS s'avèrent particulièrement faciles à trouver. Elles répondent à une logique “Python”, c'est-à-dire qu'un 1 ou un 0 après l'ordre suffit à l'enclencher.

Au , ce sont pas moins de 10 000 traceurs GPS qui sont concernés. Problème, la faille en question semble difficile à colmater pour les appareils déjà en circulation. En effet, la commande de réinitialisation de code PIN ne demande aucune authentification préalable. Fidus recommande d'organiser un rappel massif, ce que certains fournisseurs britanniques ont commencé à faire.

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


The reCAPTCHA verification period has expired. Please reload the page.