Clé à emporter
- Des chercheurs ont découvert des vulnérabilités critiques dans un tracker GPS populaire utilisé dans des millions de véhicules.
- Les bugs restent non corrigés puisque le fabricant n'a pas réussi à s'engager avec les chercheurs et même avec la Cybersecurity and Infrastructure Security Agency (CISA).
- Il ne s'agit que d'une manifestation physique d'un problème sous-jacent à l'ensemble de l'écosystème des appareils intelligents, suggèrent les experts en sécurité.
Des chercheurs en sécurité ont découvert de graves vulnérabilités dans un tracker GPS populaire utilisé dans plus d'un million de véhicules dans le monde.
Selon les chercheurs du fournisseur de sécurité BitSight, si elles sont exploitées, les six vulnérabilités du traqueur GPS de véhicule MiCODUS MV720 pourraient permettre aux pirates d'accéder et de contrôler les fonctions de l'appareil, y compris le suivi du véhicule ou la coupure de son carburant la fourniture. Alors que les experts en sécurité ont exprimé leur inquiétude concernant la sécurité laxiste des appareils intelligents connectés à Internet dans l'ensemble, la recherche BitSight est particulièrement inquiétante pour notre vie privée et notre sécurité.
"Malheureusement, ces vulnérabilités ne sont pas difficiles à exploiter", a noté Pedro Umbelino, chercheur principal en sécurité chez BitSight, dans un communiqué de presse. "Les défauts de base de l'architecture système globale de ce fournisseur soulèvent des questions importantes sur la vulnérabilité des autres modèles."
Télécommande
Dans le rapport, BitSight indique qu'il s'est concentré sur le MV720 car il s'agissait du modèle le moins cher de l'entreprise qui offre des capacités antivol, de coupure de carburant, de contrôle à distance et de géorepérage. Le traceur compatible cellulaire utilise une carte SIM pour transmettre ses mises à jour de statut et de localisation aux serveurs de support et est conçu pour recevoir des commandes de ses propriétaires légitimes par SMS.
BitSight prétend avoir découvert les vulnérabilités sans trop d'effort. Il a même développé un code de preuve de concept (PoC) pour cinq des failles afin de démontrer que les vulnérabilités peuvent être exploitées dans la nature par de mauvais acteurs.
Et ce ne sont pas seulement les individus qui pourraient être touchés. Les trackers sont populaires auprès des entreprises ainsi que des agences gouvernementales, militaires et d'application de la loi. Cela a conduit les chercheurs à partager leurs recherches avec la CISA après qu'elles n'aient pas suscité de réponse positive de la part du fabricant et fournisseur d'électronique et d'accessoires automobiles basé à Shenzhen, en Chine.
Après que la CISA n'ait pas non plus obtenu de réponse de MiCODUS, l'agence a pris sur elle d'ajouter les bogues à la liste des vulnérabilités et expositions communes (CVE) et leur a attribué un score CVSS (Common Vulnerability Scoring System), avec quelques-uns d'entre eux obtenant un score de gravité critique de 9.8 sur 10.
L'exploitation de ces vulnérabilités permettrait de nombreux scénarios d'attaque possibles, qui pourraient avoir "des implications désastreuses, voire mortelles", notent les chercheurs dans le rapport.
Des sensations fortes pas chères
Le tracker GPS facilement exploitable met en évidence de nombreux risques liés à la génération actuelle d'appareils Internet des objets (IoT), notent les chercheurs.
Roger Grimes, a déclaré Grimes à Lifewire par e-mail. Votre téléphone portable peut être compromis pour enregistrer vos conversations. La webcam de votre ordinateur portable peut être activée pour vous enregistrer, vous et vos réunions. Et le dispositif de suivi GPS de votre voiture peut être utilisé pour trouver des employés spécifiques et désactiver des véhicules. »
Les chercheurs notent qu'actuellement, le tracker GPS MiCODUS MV720 reste vulnérable aux défauts mentionnés puisque le fournisseur n'a pas mis de correctif à disposition. Pour cette raison, BitSight recommande à toute personne utilisant ce traceur GPS de le désactiver jusqu'à ce qu'un correctif soit disponible.
S'appuyant sur cela, Grimes explique que les correctifs présentent un autre problème, car il est particulièrement difficile d'installer des correctifs logiciels sur les appareils IoT. "Si vous pensez qu'il est difficile de corriger un logiciel ordinaire, il est dix fois plus difficile de corriger des appareils IoT", a déclaré Grimes.
Dans un monde idéal, tous les appareils IoT auraient des correctifs automatiques afin d'installer automatiquement les mises à jour. Mais malheureusement, Grimes souligne que la plupart des appareils IoT nécessitent que les gens les mettent à jour manuellement, sautant à travers toutes sortes de cerceaux, comme l'utilisation d'une connexion physique gênante.
"Je suppose que 90 % des appareils de suivi GPS vulnérables resteront vulnérables et exploitables si et quand le fournisseur décide réellement de les réparer", a déclaré Grimes. "Les appareils IoT sont pleins de vulnérabilités, et cela ne sera pas changement dans le futur, peu importe le nombre de ces histoires qui sortent. »