Avast a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.
Martin Hron, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable qui a intégré la sécurité dès la conception du produit, en particulier une connexion sécurisée et un chiffrement renforcé des données. Comme pour tout appareil prêt à l’emploi, il est recommandé de modifier les mots de passe par défaut de l’administrateur et d’en choisir de plus complexes. Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.
Signaux d’alerte dès la sortie de l’emballage
La firme américaine a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification qui leur a été attribué et le mot de passe par défaut très générique « 123456 ». Ces informations sont également transmises via un protocole HTTP non sécurisé.
Le numéro d’identification est dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant. En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI pourrait être piraté sans le moindre effort.
Rien n’est chiffré
À l’aide d’un simple outil de recherche de commandes, les chercheurs ont découvert que toutes les demandes provenant de l’application Web du traceur sont transmises en texte brut non chiffré. Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
- appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
- envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
- utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
- partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.
Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.
Ce que les consommateurs devraient retirer de cette étude
Outre l’appareil qui fait l’objet de cette étude, Avast a identifié 29 autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité — dont la plupart sont fabriqués par le fournisseur mentionné ci-dessus — ainsi que 50 applications mobiles différentes utilisant la même plateforme non chiffrée, dont il a été question précédemment. Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 » et que les applications mobiles associées ont été téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements qui lui ont été envoyés à plusieurs reprises pour signaler les failles.
Leena Elias exhorte le public à faire preuve de prudence lorsqu’il s’agit d’introduire des appareils intelligents bon marché ou contrefaits à la maison. « En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants, mais nous devons être bien renseignés sur les produits que nous achetons, déclare-t-elle. Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité ou qui ne sont pas certifiés ou homologués par des tiers. Choisissez uniquement des marques en qui vous avez confiance pour protéger vos données — votre tranquillité d’esprit en vaudra le coût supplémentaire. »
Illustration : DR
[cc] Breizh-info.com, 2019, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine