Une faille béante dans des milliers de traceurs GPS permet d’obtenir la position et d’écouter les conversations
Le 13 mai 2019 à 09h15
2 min
Sciences et espace
Les utilisations des produits du genre sont très nombreuses : alarmes connectées pour personnes âgées, suivi des déplacements pour les enfants et les véhicules, etc.
Problème, via l'envoi d'un simple SMS, un traceur GPS vendu en marque blanche par un fabricant chinois laisse fuiter des informations très sensibles, comme l'explique TechCrunch qui s'appuie sur une publication de Fidus. Nos confrères expliquent qu'il est utilisé par de nombreux fabricants : Pebbell, OwnFone Footprint et SureSafeGo pour ne citer qu'eux.
Les petits boîtiers utilisent la 2G pour se connecter aux réseaux mobiles et, même s'ils ne permettent pas d'accéder à Internet, l'envoi d'un SMS permet en retour d'obtenir la localisation avec des données sur l'altitude et la vitesse, le numéro IMEI et bien plus encore.
Il est aussi possible de désactiver les alarmes de mouvement, de chute ou de batterie faible, éteindre l'appareil et même… d'écouter à distance en appelant le numéro de téléphone. TechCrunch a pu tester ces vulnérabilités et confirme qu'elles sont réelles.
Un code PIN peut être ajouté pour protéger l'accès, mais il est désactivé par défaut. Pire, même s'il est présent, les commandes reboot et reset ne nécessitent pas le code PIN pour être utilisées. Cette dernière remet l'appareil dans sa configuration par défaut… sans code PIN.
Pour les chercheurs, réparer cette faille serait « trivial », par exemple en imprimant un code unique sur chaque appareil, nécessaire pour accéder à celui-ci à distance. Ils estiment par contre que rien ne peut être fait pour ceux déjà en circulation, notamment à cause de la commande reset accessible sans authentification.
Contactés en amont, certains constructeurs ont commencé à rappeler leurs produits, tandis que d'autres n'ont pas répondu.
Le 13 mai 2019 à 09h15
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/05/2019 à 09h19
#1
Bienvenu dans le merveilleux monde des objet “connectés”… 10 ans que ça dure et rien n’a changé.
Le 13/05/2019 à 09h37
#2
De toutes façons les services ont leurs backdoors partout faut pas rêver.
Le 13/05/2019 à 09h57
#3
Pour se genre d’appareil, il devrait y avoir de gros contrôle… et ça pourrait relancer l’industrialisation en Europe plutôt qu’importer de la merde chinoise.
Le 13/05/2019 à 09h58
#4
heureusement il y a Fidus " />
Sinon, très jolie faille : facile à exploiter, avec un effet large en terme de compromission, la part de complotiste en moi voit clairement tout le bénef qu’on pourrait en tirer en terme de renseignement…
Le 13/05/2019 à 09h58
#5
Attention à ne pas mettre tous les objets dans le même panier non plus.
Les produits bas de gamme ça a toujours existé, ça coûte cher un objet connecté donc c’est normal que les marques se tournent vers des produits sur étagère pour apposer leur logo. Il faut juste garder ça a l’esprit, en général on a ce qu’on paye.
Le 13/05/2019 à 10h32
#6
Le 13/05/2019 à 10h59
#7
Le 13/05/2019 à 11h12
#8
Le 13/05/2019 à 11h51
#9
Plus d’excuses pour ne pas retrouver les vieux qui s’échappent des EHPAD. " />
Le 13/05/2019 à 12h01
#10
Utiliser la moyenne est une grossière erreur que font pas mal de média, car elle est fortement influencée par les extrêmes. Il est plus intéressant de regarder la médiane :
D’après wikipédia, en 2019 le salaire médian est estimé à 1789€/mois (net). En comparaison, le salaire moyen est de 2238€/mois net. Ca montre qu’il y a une part de la population qui gagne nettement plus que la majorité.
Ensuite pour comparer avec un autre pays il faut prendre en compte le cout de la vie locale. Même si le salaire en Chine est faible, y a quand même une différence de cout entre vivre en Chine et en France ;)
Pour en revenir à l’actu, ça confirme mon opinion sur les objets connectés : j’en reste à du DIY only et local only
Le 13/05/2019 à 12h12
#11
2G ??? Je pensais que ce protocole était mort en Europe (et au Canada aussi en passant)
Le 13/05/2019 à 12h50
#12
Le 13/05/2019 à 13h42
#13
Le 13/05/2019 à 14h20
#14
Le 13/05/2019 à 14h22
#15
Ca dépend de qui décide.
Dans la boite d’un pote ils ont “dégraissé” niveau devs en France pour sous traiter le gros du boulot en Inde. Résultat ce qu’il reste comme devs en France ont un boulot de malade car tout ce qui revient c’est de la merde inexploitable qui ne marche pratiquement jamais comme attendu et si par hasard ça fait ce qu’on demande ça fait aussi pleins de choses indésirables, c’est codé n’importe comment donc très difficile à débugger à postériori, etc …
En plus pour éviter de se faire pomper “la propriété intellectuelle” au passage ils ne sous traitent pas à un seul presta mais à plusieurs qui ont chacun un bout de code à faire mais sans aucune visibilité sur ce que doivent faire les autres, du coup quand au retour en France il faut recoller des morceaux qui ne marchent déja pas chacun de leur coté pour arriver à les faire marcher tous ensemble … " /> en gros selon mon pote il y aurait parfois presque moins de taff à tout reprendre de zéro " />
Le problème c’est que la direction voit juste que ça coûte bien moins cher et qu’au final ça fini par marcher quand même, par contre ils ne voient pas(ou ne veulent pas voir) la succession de burnout dans les équipes technique.
Le 13/05/2019 à 14h28
#16
Le 13/05/2019 à 14h30
#17
C’est déja l’ancien monde, il n’y a qu’à regarder les étiquettes sur les fringues, grolles, etc …
Ca devient de plus en plus rare de voir marqué Made in China, comme tu dis c’est devenu trop cher.
Aujourd’hui les usines sont parties au Vietnam, au Cambodge, au Laos, bref là où c’est encore moins cher de produire..
Une fois que les industriels auront fait toute l’Asie il ne le restera plus qu’à retourner exploiter l’Afrique, ça risque de rappeler des souvenirs de famille à quelques grandes fortunes …
Le 13/05/2019 à 14h35
#18
Le 13/05/2019 à 14h59
#19
Le 13/05/2019 à 15h02
#20
Concernant la “qualité chinoise” c’est surtout qu’entre les deux il y a un coûteux intermédiaire qui dira que c’est joli et donnera de la crédibilité à la qualité avec nom moins asiatique.
Les makers qui achètent en direct ne se plaignent pas.
Guinnness a écrit :
Puis c’est comme la pollution, on a meilleure conscience quand la misère est offshore: loin des yeux, loin du cœur.
Quand on a appris à faire des tableaux Excel sur les PKI des producteurs on s’accroche comme on peut à la caste des brasseurs d’argent, quite à faire quelques sacrifices humains…
Le 13/05/2019 à 15h07
#21
Malheureusement ce n’est pas un mythe et ca marche dans presque tous les secteurs (info, compta…)
Je dirais que les Indiens comme les Chinois ne font pas que de la merde, mais si le but premier du demandeur est de rogner sur les couts de production comme un goret, il ne peuvent qu’en faire (de la merde) vu qu’ils seront payes au lance pierre et je parie qu’ils auront egalement des objectifs quasi irrealistes. => on ne peut que faire de la merde…
Les comptables sont contents et les equipes locale doivent tout refaire sans le dire le tout en sous-effectif…
Le 13/05/2019 à 15h09
#22
Le 13/05/2019 à 15h23
#23
“Pebbell, OwnFone Footprint et SureSafeGo”
J’adore. " />
Le 13/05/2019 à 15h38
#24
Le 13/05/2019 à 15h40
#25
Le 13/05/2019 à 15h56
#26
le seul truc qui traine encore ^^
après perso je passe par l’API speech dans un javascript, donc c’est pas relié à un compte google (mais à mon IP :s), mais ça reste pas top. Vivement que le projet de Mozilla sorte ;)
Le 13/05/2019 à 16h04
#27
Le 13/05/2019 à 20h43
#28
Le 13/05/2019 à 21h20
#29
J’imagine qu’il veut dire que le traitement des données issues des objets connectés est fait directement chez lui et non pas chez un hébergeur/prestataire externe pour garder un minimum le contrôle de ce qui en est fait. Pas que le matériel est fabriqué localement.
Le 14/05/2019 à 07h54
#30
Le 14/05/2019 à 10h56
#31
Pour en revenir à la news, j’ai une balise gps qui envoie sa position par retour de sms. C’est juste son fonctionnement normal. Où est la faille? Sans ce sms, je n’ai plus la fonction.
Quand à la possibilité de pirater le truc, avec une batterie qui dure à peine 1h, autant dire que le risque qu’un pirate arrive à le joindre est faible (déjà qu’avec la saturation des numéros en 06, il va falloir spammer du lourd avant de tomber sur un gps de ve type). Bref, je m’interroge sur l’intérêt de publier cette news.
Le 14/05/2019 à 11h10
#32
ah non, je parle local only pour la partie réseau : ma domotique n’envoie rien sur internet, elle n’est même pas reliée au réseau. Si j’ai besoin d’information à distance, je passe par des sms (un vieux téléphone avec un carte free à 2€ + tasker).
Evidemment, les puces (ESP dans mon cas) + Rpi ne sont pas locaux.
Le 14/05/2019 à 11h11
#33
je connais pas, merci de l’info je regarderais ça ^^
Le 14/05/2019 à 11h44
#34
j viens de me souvenir qu’IH https://www.inpact-hardware.com/article/1001/on-a-installe-snips-assistant-vocal… avait fait un test fin 2018 et j’ai jamais eu le temps de m’y mettre. J’ai complétement zappé l’existence de ce dernier. Bref je pense que ce week end je vais pouvoir tester ça.
Le 14/05/2019 à 14h52
#35
le fleau de la gestion de personnel… la direction qui a le nez dans les kpi…
mais bon c’est pour leurs gros bonus… ils faut les comprendre
Le 15/05/2019 à 06h07
#36
Sachant que ce genre de bidule coute moins cher que le prix de la carte SIM, je doute qu’il soit possible de graver un numéro unique sans doubler voir tripler les coûts.
Par ex 6€43 en tarif individuel si t’achètes un carton ça doit baisser encore:
https://www.gearbest.com/gps-accessories/pp_009363905538.html?wid=1527929.