Rechercher
Fermer ce champ de recherche.

Avast découvre des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés

Avast a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable qui a intégré la sécurité dès la conception du produit, en particulier une connexion sécurisée et un chiffrement renforcé des données. Comme pour tout appareil prêt à l’emploi, il est recommandé de modifier les mots de passe par défaut de l’administrateur et d’en choisir de plus complexes. Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

La firme américaine a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification qui leur a été attribué et le mot de passe par défaut très générique « 123456 ». Ces informations sont également transmises via un protocole HTTP non sécurisé.

Le numéro d’identification est dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant. En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI pourrait être piraté sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs ont découvert que toutes les demandes provenant de l’application Web du traceur sont transmises en texte brut non chiffré. Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, Avast a identifié 29 autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité — dont la plupart sont fabriqués par le fournisseur mentionné ci-dessus — ainsi que 50 applications mobiles différentes utilisant la même plateforme non chiffrée, dont il a été question précédemment. Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 » et que les applications mobiles associées ont été téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements qui lui ont été envoyés à plusieurs reprises pour signaler les failles.

Leena Elias exhorte le public à faire preuve de prudence lorsqu’il s’agit d’introduire des appareils intelligents bon marché ou contrefaits à la maison. « En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants, mais nous devons être bien renseignés sur les produits que nous achetons, déclare-t-elle. Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité ou qui ne sont pas certifiés ou homologués par des tiers. Choisissez uniquement des marques en qui vous avez confiance pour protéger vos données — votre tranquillité d’esprit en vaudra le coût supplémentaire. » 

Illustration : DR
[cc] Breizh-info.com, 2019, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

Informatique, Technologies

Ordinateurs et smartphones : quelques conseils clés pour entretenir vos appareils

Découvrir l'article

Economie

Journée mondiale de la protection des données : le point sur la notoriété de la cybersécurité

Découvrir l'article

Société

6 conseils pour ne plus pleurer à cause de WannaCry & Co

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

S'abonner

* indicates required

BREIZH-INFO vous envoie des informations d'actualités de façon quotidienne, et peut, le cas échéant, vous solliciter afin de recueillir des dons pour soutenir la presse alternative. En aucun cas nous n'utiliserons vos données pour d'autres fins.

Vous pouvez à tout moment changer d'avis en cliquant sur le lien Se désinscrire, ou en nous contactant à [email protected]. Pour plus d'informations sur nos pratiques de confidentialité, veuillez visiter notre site web. En cliquant ci-dessous, vous acceptez que nous puissions traiter vos informations conformément à ces termes.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky