Les Trackers GPS Permettent aux Pirates Informatiques d'Espionner vos Proches

Vulnerable GPS Trackers

De nombreux produits sont disponibles sur le marché qui promettent de vous assurer, à vous et à vos proches, une meilleure sécurité, dans la vie réelle et sur Internet. Toutefois, en raison de la manière dont ces appareils et services fonctionnent, il est même possible qu'ils vous mettent en danger, ainsi que les personnes que vous aimez, s'ils ne sont pas conçus et testés correctement. Il convient de noter que la plupart des utilisateurs ne le réalisent pas, contrairement aux experts en sécurité.

Un parent âgé d'Andrew Mabbit, spécialiste des tests d'intrusion chez Fidus Information Security, a récemment reçu un nouvel appareil GPS qui peut également jouer le rôle de bouton de panique et qui peut alerter Mabbit et sa famille en cas d'urgence. Après avoir fait des recherches, il a découvert que plus de 10 000 appareils de ce type avaient été vendus et utilisés au Royaume-Uni, et beaucoup plus partout dans le monde. Il a constaté que même s’ils sont commercialisés sous différentes marques (notamment Pebbell 2 – HoIP Telecom, Personal Alarm & GPS Tracker with Fall Alert – Unforgettable, Footprint – Anywhere Care, SureSafeGO 24/7 Connect 'Anywhere' Alarm, etc.), ils sont tous produits par le même fabricant chinois. Enfin, Andrew Mabbit et ses collègues ont découvert que ces trackers GPS présentaient une faille de sécurité sérieuse.

Comment fonctionnent les trackers GPS vulnérables?

Les trackers GPS se connectent au réseau cellulaire via une carte SIM, chaque carte SIM est associée à un numéro de téléphone. Après avoir correctement supposé que les cartes SIM avaient été achetées en gros, Mabbit était capable d'écrire un script simple et d'obtenir les numéros de téléphone de centaines de trackers GPS actuellement actifs.

Interagir avec les trackers est aussi simple que d'envoyer des commandes sous forme de messages texte. Vous devez savoir que les messages courts (SMS) fonctionnent peu importe si le numéro de téléphone de l'expéditeur soit ou non répertorié comme contact d'urgence, mais le système d'authentification censé sécuriser le périphérique souffre d'un défaut de conception majeur.

La mauvaise implémentation d’un mécanisme d’authentification basé sur un code PIN laisse les trackers GPS ouverts à l’exploitation

Pour protéger les trackers GPS contre un accès non autorisé, il suffit d'utiliser un système d'authentification basé sur un code PIN qui, pour des raisons totalement énigmatiques, est désactivé par défaut. En d'autres termes, toute personne connaissant le numéro de téléphone associé à l’un des périphériques vulnérables peut le commander à distance.

Bien sûr, le manuel d'utilisation vous présente des instructions sur la manière d'attribuer un code PIN, il est presque certain que la plupart des personnes qui ont la peine de le lire prendront le temps nécessaire de sécuriser l'appareil. Il est conseillé de garder à l’esprit que contourner le code PIN n'est pas une chose difficile. Dans une démonstration pour TechCrunch, Andrew Mabbit a expliqué comment tout cela fonctionne en pratique.

Si vous avez protégé le tracker GPS de votre grand-mère avec un code PIN, obtenir l'emplacement de l'appareil signifie envoyer un SMS contenant le code PIN suivi de la commande « Loc ». La plupart des commandes ne fonctionneront pas sans le code PIN, mais deux exceptions existent.

Les commandes « reboot » et « reset » seront exécutées même si vous ne savez pas le code PIN et ce dernier n'est pas inclus. La commande « reboot » ne fait que redémarrer l'appareil, ce qui limite les dommages qu'elle peut entraîner. Toutefois, « reset » restaure les paramètres par défaut de votre tracker.

Cette commande est connue pour effacer tous les contacts d'urgence et annuler toutes les modifications apportées à l'appareil. Cette dernière désactive également le mécanisme d'authentification par code PIN ce qui rend le tracker une cible facile.

Que peuvent faire les attaquants avec les trackers GPS vulnérables?

Tel que mentionné précédemment, le tracker répond à la commande « Loc » avec son emplacement précis. Il envoie non seulement les coordonnées GPS, mais aussi la vitesse à laquelle il se déplace, l’altitude et un lien pratique Google Maps qui vous y conduit directement.

Les attaquants peuvent également obtenir des informations sur le niveau de la batterie, le numéro IMEI de votre périphérique. Ils peuvent même désactiver diverses fonctions et alarmes. Dernier point, mais pas le moindre, les attaquants peuvent transformer le tracker GPS en un bug d'écoute. En utilisant la commande « L1 », un pirate informatique peut activer le microphone intégré à l'appareil et écouter ce qui se passe à l'autre bout. Le porteur ne sera pas mieux informé.

Ces appareils sont portés par les membres les plus vulnérables de notre société - les personnes âgées et les enfants - et il est bien connu que certaines entreprises les utilisent aussi pour suivre leurs employés. Comme le dit Fidus, les conséquences potentielles d'une attaque semblable sont « plutôt effrayantes » et, malheureusement, la prévention n'est pas facile.

Corriger le problème ne sera pas une chose facile à faire

Les experts de Fidus ont souligné que, d'un point de vue purement technique, la résolution du problème ne devrait pas être aussi difficile, surtout pour les nouveaux appareils. C'est un bon début d'activer le système basé sur un code PIN par défaut et s'assurer qu'une réinitialisation d'usine n'est pas possible sans authentification. Pour une protection supplémentaire, les fournisseurs peuvent aussi modifier le logiciel sous-jacent afin que les périphériques ne répondent pas aux commandes émises par des numéros de téléphone qui sont hors de la liste de contacts d'urgence.

Malheureusement, toutes ces modifications ne sont pas possibles à distance, ce qui signifie que si les périphériques déjà vendus doivent être sécurisés, les fournisseurs devront les rappeler. Cela peut s'avérer très coûteux et sans surprise, alors que certains des fournisseurs contactés par Fidus ont déclaré qu’ils examinaient la question, d’autres préféraient ne pas répondre, suggérant qu’ils pourraient laisser les trackers vulnérables aux attaques des pirates informatiques.

Par Duran
May 16, 2019
News
Français
May 16, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.