Des chercheurs en sécurité ont découvert de graves vulnérabilités dans un traceur GPS populaire utilisé dans plus d’un million de véhicules dans le monde.

Selon les chercheurs de l’éditeur de solutions de sécurité BitSight, si elles sont exploitées, les six vulnérabilités du traceur GPS MiCODUS MV720 pourraient permettre à des acteurs menaçants d’accéder aux fonctions de l’appareil et de les contrôler, y compris de suivre le véhicule ou de couper son alimentation en carburant. Alors que les experts en sécurité s’inquiètent du manque de sécurité des appareils intelligents et connectés à Internet, les recherches de BitSight sont particulièrement inquiétantes pour notre vie privée et notre sécurité.

« Malheureusement, ces vulnérabilités ne sont pas difficiles à exploiter », a noté Pedro Umbelino, chercheur principal en sécurité chez BitSight, dans un communiqué de presse. « Les failles de base dans l’architecture globale du système de ce fournisseur soulèvent des questions importantes sur la vulnérabilité d’autres modèles. »

Traqueur GPS en ligne avec Google Maps

Contrôle à distance

Dans son rapport, BitSight indique qu’il s’est concentré sur le MV720, car il s’agit du modèle le moins cher de la société, qui offre des fonctions d’antivol, de coupure de carburant, de contrôle à distance et de géofencing. Le traqueur cellulaire utilise une carte SIM pour transmettre son statut et les mises à jour de sa localisation aux serveurs de support et est conçu pour recevoir des commandes de ses propriétaires légitimes par SMS.

BitSight affirme avoir découvert les vulnérabilités sans trop d’efforts. Il a même développé un code de preuve de concept (PoCs) pour cinq des failles afin de démontrer que les vulnérabilités peuvent être exploitées dans la nature par de mauvais acteurs.

Et les particuliers ne sont pas les seuls à pouvoir être affectés. Les traqueurs sont populaires auprès des entreprises ainsi que des organismes gouvernementaux, militaires et des forces de l’ordre. C’est ce qui a conduit les chercheurs à partager leurs recherches avec le CISA après qu’ils n’aient pas obtenu de réponse positive de la part du fabricant et fournisseur d’électronique et d’accessoires automobiles basé à Shenzhen, en Chine.

Le CISA n’ayant pas non plus obtenu de réponse de MiCODUS, l’agence a pris l’initiative d’ajouter les bogues à la liste CVE (Common Vulnerabilities and Exposures) et de leur attribuer un score CVSS (Common Vulnerability Scoring System), certains d’entre eux obtenant un score de gravité critique de 9,8 sur 10.

L’exploitation de ces vulnérabilités permettrait de mettre en place de nombreux scénarios d’attaque, qui pourraient avoir « des conséquences désastreuses, voire mortelles », notent les chercheurs dans le rapport.

Des sensations fortes à bon marché

Le traceur GPS facilement exploitable met en évidence de nombreux risques liés à la génération actuelle d’appareils de l’Internet des objets (IoT), notent les chercheurs.

Roger Grimes, évangéliste de la défense axée sur les données au sein de la société de cybersécurité KnowBe4, estime que l’un des principaux problèmes de tout dispositif IdO permettant de suivre quelqu’un est la protection de la vie privée.

« Mettez une caméra web dans votre maison à des fins de sécurité, et vous ne pouvez pas être assuré qu’elle ne vous suivra pas pendant les moments où vous pensiez avoir une vie privée », a déclaré Grimes par e-mail. « Votre téléphone portable peut être compromis pour enregistrer vos conversations. La webcam de votre ordinateur portable peut être activée pour vous enregistrer, vous et vos réunions. Et le dispositif de suivi GPS de votre voiture peut être utilisé pour trouver des employés spécifiques et désactiver les véhicules. »

Les chercheurs notent qu’actuellement, le traceur GPS MiCODUS MV720 reste vulnérable aux failles mentionnées car le fournisseur n’a pas mis de correctif à disposition. Pour cette raison, BitSight recommande à toute personne utilisant ce traceur GPS de le désactiver jusqu’à ce qu’un correctif soit disponible.

M. Grimes explique que l’installation de correctifs pose un autre problème, car il est particulièrement difficile d’installer des correctifs logiciels sur les appareils IoT. « Si vous pensez qu’il est difficile de corriger les logiciels ordinaires, il est dix fois plus difficile de corriger les dispositifs IoT », a déclaré M. Grimes.

Dans un monde idéal, tous les appareils IoT seraient dotés d’un système de correction automatique afin d’installer automatiquement les mises à jour. Malheureusement, M. Grimes souligne que la plupart des appareils IoT doivent être mis à jour manuellement, en passant par toutes sortes d’obstacles, comme l’utilisation d’une connexion physique peu pratique.

« Je suppose que 90% des dispositifs de suivi GPS vulnérables resteront vulnérables et exploitables si et quand le fournisseur décide effectivement de les corriger », a déclaré Grimes. « Les dispositifs IoT sont pleins de vulnérabilités, et cela ne changera pas à l’avenir, quel que soit le nombre de ces histoires qui sortent. »