Mais combien en savons-nous réellement sur ces appareils qui savent toujours où nous sommes et peuvent parfois même nous entendre (la majorité des appareils dont nous allons parler ici ont aussi des microphones). Il se trouve que certains traceurs GPS d'aujourd'hui, en particulier ceux situés dans le segment d'entrée de gamme, devraient provoquer des cauchemars plutôt que d'apporter la tranquillité d'esprit. Selon Avast, non seulement leur manque de sécurité est alarmant, mais en plus ces appareils risquent davantage de rendre vos proches plus vulnérables.
En fait, Avast a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IdO dépassent largement le cadre d’un seul fournisseur.
Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable qui a intégré la sécurité dès la conception du produit, en particulier une connexion sécurisée et un chiffrement renforcé des données. Comme pour tout appareil prêt à l’emploi, il est recommandé de modifier les mots de passe par défaut de l’administrateur et d’en choisir de plus complexes. Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.
Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site i365gps en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification qui leur a été attribué et le mot de passe par défaut très générique « 123456 ». Ces informations sont également transmises via un protocole HTTP non sécurisé.
Le numéro d’identification est dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant. En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI pourrait être piraté sans le moindre effort.
À l’aide d’un simple outil de recherche de commandes, les chercheurs ont découvert que toutes les demandes provenant de l’application Web du traceur sont transmises en texte brut non chiffré. Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
- appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
- envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
- utiliser les SMS pour rediriger la communication de l'appareil vers un autre serveur afin d'obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
- partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter une porte dérobée.
En clair, les chercheurs ont découvert que les personnes qui se trouvent sur le même réseau que le smartphone ou l'application Web peuvent surveiller ou modifier le trafic sensible. Une commande utile peut envoyer un message texte à un numéro de téléphone choisi par l’attaquant. Un attaquant peut l'utiliser pour obtenir le numéro de téléphone associé à un compte spécifique. À partir de là, les attaquants du même réseau pourraient modifier les coordonnées GPS que le traceur signale ou forcer l’appareil à appeler un numéro de leur choix et à diffuser tout son à portée du microphone. D'autres commandes permettaient aux périphériques de revenir aux paramètres d'usine, y compris le mot de passe par défaut, ou d'installer un firmware choisi par l'attaquant.
Une autre commande permet aux attaquants de changer l’adresse IP du serveur avec lequel le traceur communique. Les chercheurs d’Avast ont exploité cette faiblesse pour mettre en place une attaque de type man-in-the-middle qui leur permettait de contrôler en permanence le périphérique. À partir de ce moment, les attaquants n'auraient plus besoin d'être connectés au même réseau que le smartphone ou l'application Web. Ils seraient en mesure de voir et de modifier tout le texte en clair passant par leur proxy.
Les chercheurs ont également déterminé que toutes les données transitant entre le réseau GSM et le serveur cloud étaient non seulement non chiffrées mais également non authentifiées. La seule chose qui permettait d'identifier l'appareil était son IMEI. Les chercheurs ont indiqué qu'ils avaient informé le vendeur du traceur T8 Mini GPS le 24 juin de ces vulnérabilités et qu'ils n'avaient jamais reçu de réponse.
Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.
Outre l’appareil qui fait l’objet de cette étude, Avast a identifié 29 autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité — dont la plupart sont fabriqués par le fournisseur mentionné ci-dessus — ainsi que 50 applications mobiles différentes utilisant la même plateforme non chiffrée, dont il a été question précédemment. Concernant les autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité, il s'agit de :
- T58
- A9
- T8S
- T28
- TQ
- A16
- A6
- 3G
- A18
- A21
- T28A
- A12
- A19
- A20
- A20S
- S1
- P1
- FA23
- A107
- RomboGPS
- PM01
- A21P
- PM02
- A16X
- PM03
- WA3
- P1-S
- S6
- S9
Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 » et que les applications mobiles associées ont été téléchargées près de 500 000 fois. Leena Elias, head of product delivery, chez Avast, exhorte le public à faire preuve de prudence lorsqu’il s’agit d’introduire des appareils intelligents bon marché ou contrefaits à la maison. « En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants, mais nous devons être bien renseignés sur les produits que nous achetons, déclare-t-elle. Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité ou qui ne sont pas certifiés ou homologués par des tiers. Choisissez uniquement des marques en qui vous avez confiance pour protéger vos données — votre tranquillité d’esprit en vaudra le coût supplémentaire ».
Les traceurs GPS peuvent offrir une protection et une tranquillité d'esprit dans les cas appropriés, qui nécessitent au minimum le consentement en toute connaissance de cause des personnes suivies. Mais la recherche Avast montre que les capacités de ces appareils peuvent aller dans les deux sens et rendre les utilisateurs plus vulnérables que s’ils n’utilisaient aucune protection.
Source : Avast
Et vous ?
Avez-vous déjà été intéressé par (ou avez-vous acheté) un tel produit ?
Si oui, qu'est-ce qui vous oriente vers tel produit plutôt qu'un autre ?
Que pensez-vous de la découverte d'Avast ? Êtes-vous surpris de voir autant d'appareils concernés par ces failles ?
Voir aussi :
Le mot de passe "123456" a été utilisé plus de 23 millions de fois d'après un rapport publié par le NCSC, qui voudrait sensibiliser les internautes
Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive, et est suivi par « password » comme en 2017
Classement des pires MdP 2017 : « 123456 » en tête et « starwars » refait surface, que conseillez-vous pour adopter des MdP difficiles à pirater ?
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?