Il y a des failles dans votre GPS qui permet de vous espionner
Très récemment, il a été découvert plusieurs failles de sécurité critique, dans un dispositif de suivi GPS sont fournies par le groupe chinois MiCODUS.
La portée de ces vulnérabilités peut être très importante lorsqu’on sait que les pirates informatiques peuvent l’utiliser pour non seulement suivre le fonctionnement de vos véhicules connectés, perturber votre utilisation de ces véhicules ou même vous espionner.
Cet article va aussi vous intéresser : Et si nos boitiers GPS devenaient des canaux par lesquels nos voitures sont menacées ?
Malheureusement, il n’y a pas encore de correctif de sécurité pour combler ses vulnérabilités. Pourtant, il y a quelque chose d’assez inquiétant quand on sait que près de 1,5 millions d’unités de ce type de dispositif est déjà déployé. On recense près de 420 000 clients.
Cette situation a même mis en alerte le gouvernement américain qui, avec la société de sécurité informatique BimSight, donne des conseils à tout le monde d’éviter d’utiliser ces dispositifs pour le moment.
La semaine dernière, l’organisme gouvernemental chargé de la sécurité informatique aux États-Unis, La CISA (Cybersecurity and Infrastructure Security Agency), à aimer une alerte généralisée concernant ses dispositifs de suivi GPS.
Ceux-ci sont assez répandus à travers le monde entier. Et les failles de sécurité découverte peuvent porte indirectement atteinte à la vie humaine aussi elles sont exploitées de manière malveillante.
Selon les explications de l’organe étatique américain, en exploitant ces vulnérabilités, il est possible pour un pirate informatique d’envoyer des commandes au dispositif de suivi GPS MiCODUS MV720, ce qui demande une exécution sans authentification significative. Donnant ainsi une manière d’exploiter les ressources du véhicule autonome à distance.
« Une exploitation réussie de ces vulnérabilités pourrait permettre à un acteur de la menace de contrôler n’importe quel traqueur GPS MV720, en lui donnant accès à la localisation, aux itinéraires, aux commandes de coupure de carburant et au désarmement de diverses fonctions (par exemple, les alarmes) », a alerté la CISA dans un avis ce mardi.
Six vulnérabilités concernant ce dispositif ont été découvertes par des spécialistes en sécurité informatique de la société BitSight, Dan Dahlberg et Jacob Olcott.
La découverte a été faite depuis septembre 2021 soit il y a un an de cela, malgré l’alerte la société n’a pas réagi jusqu’à ce jour.
« Après avoir raisonnablement épuisé toutes les options pour contacter MiCODUS, BitSight et la CISA ont déterminé que ces vulnérabilités justifient une divulgation publique », note un rapport publié BitSight le mardi dernier.
Les failles de sécurité critiques ont été nommées comme suit :
– CVE-2022-2107 : qui concerne particulièrement le mot de passe Kodi dans le serveur API des dispositifs de traçage. Elle peut être exploité pour permettre à cœur d’accéder au dispositif SMS du tracker GPS ;
– CVE-2022-2141, une vulnérabilité qui concerne précisément le système d’authentification ;
– CVE-2022-2199, porte sur le serveur principal permettant aux pirates informatiques de réaliser un « cross-site scripting » (XSS) ;
– CVE-2022-34150, une vulnérabilité qui touche les identifiants des dispositifs ;
– CVE-2022-33944, qui touche les objets sur le serveur Web principal. Son score de sévérité est de 6,5.
« BitSight recommande aux personnes et aux organisations qui utilisent actuellement des dispositifs de suivi GPS MiCODUS MV720 de désactiver ces dispositifs jusqu’à ce qu’un correctif soit disponible. Les organisations qui utilisent un traqueur GPS MiCODUS, quel que soit le modèle, doivent être alertées de l’insécurité concernant son architecture système, qui peut mettre tout dispositif en danger », note le rapport de BitSight.
Accédez maintenant à un nombre illimité de mot de passe :
