600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe

Et ont des failles qui mettent la sécurité des personnes en danger

Les traceurs GPS sont conçus pour vous apporter une plus grande tranquillité d'esprit en vous aidant à localiser vos enfants, vos animaux de compagnie et même votre voiture. Ils peuvent contribuer à assurer la sécurité des personnes âgées ou handicapées en leur fournissant un simple bouton SOS leur permettant de demander de l'aide immédiatement. De nombreux appareils sont commercialisés à ces fins sur des sites communs tels qu'Amazon et eBay et peuvent être achetés à un prix compris entre 25 et 50 USD, ce qui les rend plus attrayants d'un point de vue financier que d'utiliser un smartphone pour certaines des mêmes fonctionnalités.

Mais combien en savons-nous réellement sur ces appareils qui savent toujours où nous sommes et peuvent parfois même nous entendre (la majorité des appareils dont nous allons parler ici ont aussi des microphones). Il se trouve que certains traceurs GPS d'aujourd'hui, en particulier ceux situés dans le segment d'entrée de gamme, devraient provoquer des cauchemars plutôt que d'apporter la tranquillité d'esprit. Selon Avast, non seulement leur manque de sécurité est alarmant, mais en plus ces appareils risquent davantage de rendre vos proches plus vulnérables.

En fait, Avast a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IdO dépassent largement le cadre d’un seul fournisseur.


Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable qui a intégré la sécurité dès la conception du produit, en particulier une connexion sécurisée et un chiffrement renforcé des données. Comme pour tout appareil prêt à l’emploi, il est recommandé de modifier les mots de passe par défaut de l’administrateur et d’en choisir de plus complexes. Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site i365gps en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification qui leur a été attribué et le mot de passe par défaut très générique « 123456 ». Ces informations sont également transmises via un protocole HTTP non sécurisé.

Le numéro d’identification est dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant. En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI pourrait être piraté sans le moindre effort.

À l’aide d’un simple outil de recherche de commandes, les chercheurs ont découvert que toutes les demandes provenant de l’application Web du traceur sont transmises en texte brut non chiffré. Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
[LIST][*]appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;[*]envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et...