Piratage : près de 600 000 trackers GPS vulnérables à cause de leur mot de passe « 123456 »

Sécurité

Par Remi Lou le

Les trackers GPS made in China vendus pour des sommes dérisoires sur Amazon, eBay ou Aliexpress seraient extrêmement vulnérables face aux attaques informatiques, notamment en raison d’une sécurité très faible, voire inexistante.

On les trouve partout à des prix défiants toute concurrence. Les trackers GPS se sont largement démocratisés ces dernières années, pour permettre à tout un chacun de suivre son animal de compagnie ou repérer sa voiture. Pourtant, un sérieux problème de sécurité se poserait sur ces appareils vendus à prix cassés sur le web. Il ne s’agirait pas à proprement parler d’une faille, mais plutôt d’une sécurité totalement négligée par le constructeur. C’est en tout cas ce que révèle Martin Hron, chercheur en sécurité chez Avast qui a publié un rapport relayé par ZDnet.fr pointant du doigt un problème qui pourrait impacter plusieurs centaines de milliers de GPS made in China en circulation.

La faute à une infrastructure à la sécurité déplorable

Les trackers GPS concernés ont tous été fabriqués par l’entreprise chinoise i365-Tech. Ceux-ci utiliseraient tous une seule et même infrastructure très peu sécurisée. On aurait donc un serveur cloud, une interface web pour se connecter et une application mobile connectée au serveur. Sauf que les identifiants permettant aux utilisateurs de se connecter seraient basés sur le code IMEI de l’appareil GPS, et sécurisés par le même mot de passe « 123456 ». Ce mot de passe d’usine inchangé est une véritable aubaine pour les pirates informatiques, qui peuvent aisément espionner l’utilisateur de ce type d’appareil, et même obtenir son numéro de téléphone. Il suffirait simplement de faire varier le numéro de série en utilisant toujours le même mot de passe pour accéder aux données de tous les trackers sur le marché, avec des risques allant du simple espionnage à la falsification de la position GPS, jusqu’au verrouillage de l’appareil avant même qu’il ne soit vendu à un particulier, et bien d’autres possibilités obscures. 

Si le tracker qui a été pointé du doigt en premier est le bien connu T8 Mini, notamment plébiscité pour suivre son animal de compagnie, Avast a dévoilé que cette négligence en matière de sécurité pourrait bien toucher près de 30 autres modèles de trackers GPS fabriqués par le chinois i365-Tech. Au total, Avast a indiqué que près de 600 000 appareils pourraient être concernés.

2 réponses à “Piratage : près de 600 000 trackers GPS vulnérables à cause de leur mot de passe « 123456 »”

  1. Avast hein ? Une fois encore, l’alerte est très négligeable et le traitement par la presse est extrêmement flou. Si on lit en anglais : « Il est conseillé de changer le mot de passe 123456 par défaut » … c’est pas la même chose que tous les produits similaires ? Certes certaines circonstances font que c’est plus grave pour certains produits que d’autres, c’est en fait ce qu’ils essaient de nous dire, n’empêche que … on est sur un comportement de base. Et le risque est très limité : comment retrouver un numéro de série voulu a part physiquement ?

  2. Tout a fait la faille elle vient de l’utilisateur final qui achète ce truc pas cher. Ne pas changer le mot de passe par défaut est une faute.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *