La société de recherche en sécurité Fidus information Security a découvert une faille qui touche plusieurs dizaines milliers de traceurs GPS. Ceux-ci contiennent des microphones. Ils permettraient de suivre et d'écouter à distance leurs propriétaires.
Plusieurs fournisseurs dont Pebbell, SuresafeGo et OwFone Footprint revendent sous leur propre nom un traceur GPS fabriqué en Chine. Prévu pour être distribué en marque blanche, ce dispositif permet de géolocaliser et de recevoir des messages d'urgence de la part d'enfants ou de grands-parents en difficulté.
Malgré l'aspect pratique de ces traceurs GPS, le concepteur n'a pas suffisamment renforcé la sécurité de son appareil. La société spécialisée dans le domaine Fidus Information Security explique que le dispositif utilise une carte SIM 2G/GPRS. Si l'on ne peut pas accéder aux objets connectés par le biais de Shodan, il est tout à fait possible d'en prendre le contrôle par SMS.
Une manipulation d'une simplicité alarmante
La manipulation semble d'une simplicité alarmante. Il suffit d'envoyer un message avec un mot clé pour connaître la position en temps réel d'une personne et de l'écouter par le biais du microphone embarqué. Le cyberattaquant peut également désactiver le signal de la carte SIM à distance, rendant le dispositif inutile.
Le fabricant a pourtant intégré une protection de l'appareil par code PIN. Or, celle-ci n'est pas activée par défaut. Un individu mal intentionné peut alors réinitialiser les traceurs GPS et ainsi déclencher d'autres commandes. Les chercheurs affirment que l'on peut retirer la détection de chutes, enlever les contacts d'urgence, mettre en silence les notifications de mouvements ou encore éteindre l'appareil.
Seule condition pour réussir une telle opération, connaître le numéro de téléphone lié à l'objet. Or, les analystes avaient accès à un de ces identifiants confiés par un utilisateur d'un dispositif. Ils ont imaginé que dans ce schéma d'attaque, les numéros avaient été achetés en lot.
Fidus recommande un rappel des traceurs GPS
Après 2500 messages envoyés à des contacts de la même série, ils ont réussi à atteindre 175 appareils, soit 7 % du total. Un simple script codé en Python et deux heures leur a suffi. De même, les différentes commandes postées par SMS s'avèrent particulièrement faciles à trouver. Elles répondent à une logique “Python”, c'est-à-dire qu'un 1 ou un 0 après l'ordre suffit à l'enclencher.
Au Royaume-Uni, ce sont pas moins de 10 000 traceurs GPS qui sont concernés. Problème, la faille en question semble difficile à colmater pour les appareils déjà en circulation. En effet, la commande de réinitialisation de code PIN ne demande aucune authentification préalable. Fidus recommande d'organiser un rappel massif, ce que certains fournisseurs britanniques ont commencé à faire.
- Partager l'article :