Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.
a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.
Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.
Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.
Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.
Signaux d’alerte dès la sortie de l’emballage
Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».
Ces informations sont transmises via un protocole HTTP non « secure ».
Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.
En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.
Rien n’est chiffré
À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.
Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
- appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
- envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
- utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
- partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.
Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.
Ce que les consommateurs devraient retirer de cette étude
Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus. 50 applications mobiles différentes utilisent la même plateforme non « secure ».
Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».
Des applications mobiles téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.
En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.
Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.
Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.
Faille de sécurité dans iLnkP2P : 2 millions d’objets connectés sont affectés. Trois mois après la divulgation de cette faille, le correctif n’est toujours pas disponible.