Ces applications sont utilisées par des entreprises qui peuvent grâce à elles, surveiller leur flotte de véhicules. Le pirate a fait savoir que le but de cette démonstration était d'attirer l'attention des entreprises sur la fragilité de leurs systèmes de sécurité. Ce pirate, connu sous le nom de L&M, a été en mesure de pirater plus de 27000 comptes dont plus de 7000 pour l'application iTrack et un peu plus de 20000 pour ce qui est de ProTrack. Il précise aussi que sur certaines de ces voitures, l'application utilisée disposait d'un bouton permettant d'arrêter les moteurs des véhicules en arrêt ou qui roulent à moins de 13 km/h.
Capture d'écran du compte piraté d'un utilisateur
Le pirate a expliqué comment il s'y était pris pour pénétrer ces applications de suivi GPS. Il fait savoir que pour ces applications, les clients reçoivent un mot de passe par défaut (123456) dès leur inscription, mais que très peu d'entre eux pensaient à le modifier. Il confie donc s'être servi de ce mot de passe par défaut et avoir écrit un script qui combinait ce mot de passe par défaut avec des millions de noms d'utilisateurs qu'il avait obtenus en forçant les API de ces applications. En procédant ainsi, il a pu entrer en possession de plusieurs informations des utilisateurs de ces applications de suivi GPS.
Parmi les informations des utilisateurs récupérées par le pirate, il y a le nom et le modèle des dispositifs de repérage GPS utilisés, les numéros d’identification uniques de ces dispositifs, les noms d'utilisateur, les vrais noms des utilisateurs, les numéros de téléphone, les adresses e-mail et adresses physiques. Il semble que le pirate n'ait pas été en mesure d'obtenir toutes ces informations pour tous les utilisateurs et dans certains cas, il n'a pu obtenir qu'une partie de ces informations.
Le pirate déclare que bien qu'ayant exigé une récompense aux 2 sociétés détentrices de ces applications de suivi GPS, il était surtout préoccupé par la protection des clients : « Mes cibles étaient les sociétés, pas les clients. Les clients sont en danger à cause des sociétés. Elles veulent juste gagner de l'argent et ne veulent pas sécuriser leurs clients ». Bien qu'il en avait la possibilité, le pirate a déclaré n'avoir jamais arrêté le moteur d'un véhicule car ce serait trop dangereux.
Le pirate confie qu'après cette attaque, la société ProTrack aurait contacté ses clients via son application et par e-mail pour leur demander de changer leur mot de passe cette semaine. Quant à iTrack, la société a ajouté sur son site, une infobulle qui invite les clients à changer de mot de passe par défaut.
Il confie également avoir échangé avec un représentant de ProTrack au sujet de la récompense qu'il exigeait et déclare que ce dernier l'exhortait à n'exiger qu'une faible rançon. Il n'en a pas dit plus, mais déclare être satisfait de la situation au final : « Ils ont été mis en garde après mon attaque. Les forcer à veiller à la sécurité de leurs applications a été un succès pour moi. Ils savent désormais les risques qu'encourent leurs clients. Ils se sont donc concentrés sur la manière de sécuriser un peu plus leurs services ».
Source : Motherboard
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Des chercheurs mettent en oeuvre une attaque efficace par usurpation de GPS et réussissent à tromper facilement les humains
Des chercheurs découvrent une vulnérabilité dans des véhicules de Volkswagen et sa filiale Audi qui permet de lancer des attaques à distance
USA : un système informatique du département de la santé piraté et les données personnelles de plus de 75 000 individus compromises