Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un hacker montre qu'il peut surveiller des voitures à distance et arrêter leurs moteurs
Après avoir eu accès à des applications de suivi GPS

Le , par Jonathan

101PARTAGES

10  0 
Un pirate informatique a récemment démontré qu'il était en mesure d'accéder à 2 applications populaires de suivi GPS lui permettant de connaître l'emplacement des voitures, d'accéder aux informations privées des conducteurs, et même d'arrêter les moteurs de ces véhicules à distance. Le pirate en question affirme pouvoir créer un gros problème de trafic dans le monde entier. Les 2 applications célèbres de surveillance de véhicules par lesquelles il est passé sont iTrack et ProTrack. Ces applications ont été conçues par des sociétés iTryBrand Technology et SEEWORLD, toutes les 2 basées en Chine.

Ces applications sont utilisées par des entreprises qui peuvent grâce à elles, surveiller leur flotte de véhicules. Le pirate a fait savoir que le but de cette démonstration était d'attirer l'attention des entreprises sur la fragilité de leurs systèmes de sécurité. Ce pirate, connu sous le nom de L&M, a été en mesure de pirater plus de 27000 comptes dont plus de 7000 pour l'application iTrack et un peu plus de 20000 pour ce qui est de ProTrack. Il précise aussi que sur certaines de ces voitures, l'application utilisée disposait d'un bouton permettant d'arrêter les moteurs des véhicules en arrêt ou qui roulent à moins de 13 km/h.

Capture d'écran du compte piraté d'un utilisateur

Le pirate a expliqué comment il s'y était pris pour pénétrer ces applications de suivi GPS. Il fait savoir que pour ces applications, les clients reçoivent un mot de passe par défaut (123456) dès leur inscription, mais que très peu d'entre eux pensaient à le modifier. Il confie donc s'être servi de ce mot de passe par défaut et avoir écrit un script qui combinait ce mot de passe par défaut avec des millions de noms d'utilisateurs qu'il avait obtenus en forçant les API de ces applications. En procédant ainsi, il a pu entrer en possession de plusieurs informations des utilisateurs de ces applications de suivi GPS.

Parmi les informations des utilisateurs récupérées par le pirate, il y a le nom et le modèle des dispositifs de repérage GPS utilisés, les numéros d’identification uniques de ces dispositifs, les noms d'utilisateur, les vrais noms des utilisateurs, les numéros de téléphone, les adresses e-mail et adresses physiques. Il semble que le pirate n'ait pas été en mesure d'obtenir toutes ces informations pour tous les utilisateurs et dans certains cas, il n'a pu obtenir qu'une partie de ces informations.

Le pirate déclare que bien qu'ayant exigé une récompense aux 2 sociétés détentrices de ces applications de suivi GPS, il était surtout préoccupé par la protection des clients : « Mes cibles étaient les sociétés, pas les clients. Les clients sont en danger à cause des sociétés. Elles veulent juste gagner de l'argent et ne veulent pas sécuriser leurs clients ». Bien qu'il en avait la possibilité, le pirate a déclaré n'avoir jamais arrêté le moteur d'un véhicule car ce serait trop dangereux.

Le pirate confie qu'après cette attaque, la société ProTrack aurait contacté ses clients via son application et par e-mail pour leur demander de changer leur mot de passe cette semaine. Quant à iTrack, la société a ajouté sur son site, une infobulle qui invite les clients à changer de mot de passe par défaut.

Il confie également avoir échangé avec un représentant de ProTrack au sujet de la récompense qu'il exigeait et déclare que ce dernier l'exhortait à n'exiger qu'une faible rançon. Il n'en a pas dit plus, mais déclare être satisfait de la situation au final : « Ils ont été mis en garde après mon attaque. Les forcer à veiller à la sécurité de leurs applications a été un succès pour moi. Ils savent désormais les risques qu'encourent leurs clients. Ils se sont donc concentrés sur la manière de sécuriser un peu plus leurs services ».

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Des chercheurs mettent en oeuvre une attaque efficace par usurpation de GPS et réussissent à tromper facilement les humains
Des chercheurs découvrent une vulnérabilité dans des véhicules de Volkswagen et sa filiale Audi qui permet de lancer des attaques à distance
USA : un système informatique du département de la santé piraté et les données personnelles de plus de 75 000 individus compromises

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Thomasa21
Membre averti https://www.developpez.com
Le 27/04/2019 à 8:52
C'est flippant de savoir que quelqu'un peut arrêter le moteur de ma voiture comme ça lui plaît. Décidément, on paie des fortunes pour que dalle à ces entreprises qui ne sont même pas fichues d'assurer la sécurité de ce qu'elles nous vendent.
2  0 
Avatar de Gogo52120
Membre du Club https://www.developpez.com
Le 06/05/2019 à 10:48
Dois-je changer le mot de passe par défaut de ma Citroën BX

Quel idée d'avoir une voiture connecté ... tous ce qui a accès au web est et sera piratable un jours ou l'autre ...
2  0 
Avatar de Portekoi
Membre régulier https://www.developpez.com
Le 03/05/2019 à 10:29
Citation Envoyé par Thomasa21 Voir le message
C'est flippant de savoir que quelqu'un peut arrêter le moteur de ma voiture comme ça lui plaît. Décidément, on paie des fortunes pour que dalle à ces entreprises qui ne sont même pas fichues d'assurer la sécurité de ce qu'elles nous vendent.
C'est surtout flippant de voir des sociétés proposer un mot de passe par défaut identique à tous les clients... :-/
1  0 
Avatar de petitours
Membre éprouvé https://www.developpez.com
Le 03/05/2019 à 18:57
C'est surtout flippant de vouloir connecter une voiture au réseau...
1  0