Connexion
Abonnez-vous

Une faille béante dans des milliers de traceurs GPS permet d’obtenir la position et d’écouter les conversations

Une faille béante dans des milliers de traceurs GPS permet d'obtenir la position et d'écouter les conversations

Le 13 mai 2019 à 09h15

Les utilisations des produits du genre sont très nombreuses : alarmes connectées pour personnes âgées, suivi des déplacements pour les enfants et les véhicules, etc.

Problème, via l'envoi d'un simple SMS, un traceur GPS vendu en marque blanche par un fabricant chinois laisse fuiter des informations très sensibles, comme l'explique TechCrunch qui s'appuie sur une publication de Fidus. Nos confrères expliquent qu'il est utilisé par de nombreux fabricants : Pebbell, OwnFone Footprint et SureSafeGo pour ne citer qu'eux.

Les petits boîtiers utilisent la 2G pour se connecter aux réseaux mobiles et, même s'ils ne permettent pas d'accéder à Internet, l'envoi d'un SMS permet en retour d'obtenir la localisation avec des données sur l'altitude et la vitesse, le numéro IMEI et bien plus encore.

Il est aussi possible de désactiver les alarmes de mouvement, de chute ou de batterie faible, éteindre l'appareil et même… d'écouter à distance en appelant le numéro de téléphone. TechCrunch a pu tester ces vulnérabilités et confirme qu'elles sont réelles.

Un code PIN peut être ajouté pour protéger l'accès, mais il est désactivé par défaut. Pire, même s'il est présent, les commandes reboot et reset ne nécessitent pas le code PIN pour être utilisées. Cette dernière remet l'appareil dans sa configuration par défaut… sans code PIN.

Pour les chercheurs, réparer cette faille serait « trivial », par exemple en imprimant un code unique sur chaque appareil, nécessaire pour accéder à celui-ci à distance. Ils estiment par contre que rien ne peut être fait pour ceux déjà en circulation, notamment à cause de la commande reset accessible sans authentification.

Contactés en amont, certains constructeurs ont commencé à rappeler leurs produits, tandis que d'autres n'ont pas répondu.

Le 13 mai 2019 à 09h15

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bienvenu dans le merveilleux monde des objet “connectés”… 10 ans que ça dure et rien n’a changé.

votre avatar

De toutes façons les services ont leurs backdoors partout faut pas rêver.

votre avatar

Pour se genre d’appareil, il devrait y avoir de gros contrôle… et ça pourrait relancer l’industrialisation en Europe plutôt qu’importer de la merde chinoise.

votre avatar

heureusement il y a Fidus <img data-src=" />



Sinon, très jolie faille : facile à exploiter, avec un effet large en terme de compromission, la part de complotiste en moi voit clairement tout le bénef qu’on pourrait en tirer en terme de renseignement…

votre avatar

Attention à ne pas mettre tous les objets dans le même panier non plus.



Les produits bas de gamme ça a toujours existé, ça coûte cher un objet connecté donc c’est normal que les marques se tournent vers des produits sur étagère pour apposer leur logo. Il faut juste garder ça a l’esprit, en général on a ce qu’on paye.

votre avatar







CryoGen a écrit :



Pour se genre d’appareil, il devrait y avoir de gros contrôle… et ça pourrait relancer l’industrialisation en Europe plutôt qu’importer de la merde chinoise.





En Europe on sait faire de la merde aussi, tu sais.

Et la merde elle est avant tout due au cout acceptable pour l’acheteur.

Alors si il faut produire en Europe au même cout, avec le cout du travail 10x plus cher, le SW risque d’être encore plus troué <img data-src=" />


votre avatar







XXC a écrit :



Alors si il faut produire en Europe au même cout, avec le cout du travail 10x plus cher, le SW risque d’être encore plus troué <img data-src=" />





Juste pour pinailler, le salaire moyen en France est 2,39 fois celui de la Chine.


votre avatar







vampire7 a écrit :



Juste pour pinailler, le salaire moyen en France est 2,39 fois celui de la Chine.



Pinaillage accepté mais la comparaison reste difficile. Le salaire moyen ne reflète pas les écarts important entre les différent salaires.

Et pour ce genre de produit, l’assemblage étant automatisé, le reste de la main d’œuvre est peu qualifiée donc eu payé. Les cout de R&D sont noyé dans le volume.


votre avatar

Plus d’excuses pour ne pas retrouver les vieux qui s’échappent des EHPAD. <img data-src=" />

votre avatar

Utiliser la moyenne est une grossière erreur que font pas mal de média, car elle est fortement influencée par les extrêmes. Il est plus intéressant de regarder la médiane :

D’après wikipédia, en 2019 le salaire médian est estimé à 1789€/mois (net). En comparaison, le salaire moyen est de 2238€/mois net. Ca montre qu’il y a une part de la population qui gagne nettement plus que la majorité.



Ensuite pour comparer avec un autre pays il faut prendre en compte le cout de la vie locale. Même si le salaire en Chine est faible, y a quand même une différence de cout entre vivre en Chine et en France ;)



Pour en revenir à l’actu, ça confirme mon opinion sur les objets connectés : j’en reste à du DIY only et local only

votre avatar

2G ??? Je pensais que ce protocole était mort en Europe (et au Canada aussi en passant)

votre avatar







vampire7 a écrit :



Juste pour pinailler, le salaire moyen en France est 2,39 fois celui de la Chine.





Sinon il y à aussi l’index du big mac, 4.52\( en france et 2.77\) en chine. Mais bon la chine ça sera bientôt l’ancien monde aussi vu que les couts de production explosent aussi la bas, et certains constructeur ce tournent vers l’inde ou le salaire moyen est de 40€ et ou l’indice du big mac est de 1.89$.


votre avatar







skankhunt42 a écrit :



Sinon il y à aussi l’index du big mac, 4.52\( en france et 2.77\) en chine. Mais bon la chine ça sera bientôt l’ancien monde aussi vu que les couts de production explosent aussi la bas, et certains constructeur ce tournent vers l’inde ou le salaire moyen est de 40€ et ou l’indice du big mac est de 1.89$.



Mais vu comment ca bosse en Inde (très productifs, mais font énormément de merdes aussi, surtout en proportion), je ne suis pas sûr qu’ils y restent longtemps.


votre avatar







skankhunt42 a écrit :



Sinon il y à aussi l’index du big mac, 4.52\( en france et 2.77\) en chine. Mais bon la chine ça sera bientôt l’ancien monde aussi vu que les couts de production explosent aussi la bas, et certains constructeur ce tournent vers l’inde ou le salaire moyen est de 40€ et ou l’indice du big mac est de 1.89$.





le big mac en Chine, c’est un produit exotique, donc relativement cher.

Dans une petite ville (entre 100000 et 500000 habitants) du centre du pays, j’ai pu très bien manger avec ma femme pour environ 4€ (25¥) il y a 2 semaines - sachant que les prix peuvent aussi monter très vite.

&nbsp;

Pour ceux qui aiment taper sur “les cochoneries chinoises à bas coût qui nous envahissent”, comme dit plus haut : on a ce pour quoi on a payé. La Chine a aussi des productions “premium”, dont la qualité n’a rien à envier à ce qu’on produit localement (si tant est qu’on le produise ici). J’aime bien montrer la petite mention sur mon tél pro, dont la marque est une pomme : “designed in California, assembled in China”. Le gros problème de bon nombre d’entreprises occidentales, c’est qu’elles sont allées en Chine uniquement pour réduire les coûts, sans créer de lien avec leurs interlocuteurs locaux. Dans ces conditions, c’est normal que ces interlocuteurs se foutent de leur gueule.


votre avatar

Ca dépend de qui décide.

Dans la boite d’un pote ils ont “dégraissé” niveau devs en France pour sous traiter le gros du boulot en Inde. Résultat ce qu’il reste comme devs en France ont un boulot de malade car tout ce qui revient c’est de la merde inexploitable qui ne marche pratiquement jamais comme attendu et si par hasard ça fait ce qu’on demande ça fait aussi pleins de choses indésirables, c’est codé n’importe comment donc très difficile à débugger à postériori, etc …

En plus pour éviter de se faire pomper “la propriété intellectuelle” au passage ils ne sous traitent pas à un seul presta mais à plusieurs qui ont chacun un bout de code à faire mais sans aucune visibilité sur ce que doivent faire les autres, du coup quand au retour en France il faut recoller des morceaux qui ne marchent déja pas chacun de leur coté pour arriver à les faire marcher tous ensemble … <img data-src=" /> en gros selon mon pote il y aurait parfois presque moins de taff à tout reprendre de zéro <img data-src=" />



Le problème c’est que la direction voit juste que ça coûte bien moins cher et qu’au final ça fini par marcher quand même, par contre ils ne voient pas(ou ne veulent pas voir) la succession de burnout dans les équipes technique.

votre avatar







Guinnness a écrit :



Ca dépend de qui décide.

Dans la boite d’un pote ils ont “dégraissé” niveau devs en France pour sous traiter le gros du boulot en Inde. Résultat ce qu’il reste comme devs en France ont un boulot de malade car tout ce qui revient c’est de la merde inexploitable qui ne marche pratiquement jamais comme attendu et si par hasard ça fait ce qu’on demande ça fait aussi pleins de choses indésirables, c’est codé n’importe comment donc très difficile à débugger à postériori, etc …

En plus pour éviter de se faire pomper “la propriété intellectuelle” au passage ils ne sous traitent pas à un seul presta mais à plusieurs qui ont chacun un bout de code à faire mais sans aucune visibilité sur ce que doivent faire les autres, du coup quand au retour en France il faut recoller des morceaux qui ne marchent déja pas chacun de leur coté pour arriver à les faire marcher tous ensemble … <img data-src=" /> en gros selon mon pote il y aurait parfois presque moins de taff à tout reprendre de zéro <img data-src=" />



C’est marrant, j’ai l’impression d’avoir déjà lu/entendu qques dizaines de fois ce truc concernant l’Inde, mais à chaque fois de personnes différentes <img data-src=" />







Guinnness a écrit :



Le problème c’est que la direction voit juste que ça coûte bien moins cher et qu’au final ça fini par marcher quand même, par contre ils ne voient pas(ou ne veulent pas voir) la succession de burnout dans les équipes technique.



Ne veulent pas voir est plus réaliste. Ils savent très bien quels sont les effets délétères d’un travail aussi foireux, mais s’en foutent royalement tant que ca leur permet de gagner encore plus d’argent…

Faut dire qu’on est vraiment trop cons, au lieu de faire les trucs qu’on devrait faire et arrêter de vivre pour travailler et y bouffer sa santé au passage, on appuie encore plus sur l’accélérateur. Et au-dessus, ca en profite grassement.


votre avatar

C’est déja l’ancien monde, il n’y a qu’à regarder les étiquettes sur les fringues, grolles, etc …

Ca devient de plus en plus rare de voir marqué Made in China, comme tu dis c’est devenu trop cher.

Aujourd’hui les usines sont parties au Vietnam, au Cambodge, au Laos, bref là où c’est encore moins cher de produire..

Une fois que les industriels auront fait toute l’Asie il ne le restera plus qu’à retourner exploiter l’Afrique, ça risque de rappeler des souvenirs de famille à quelques grandes fortunes …

votre avatar







Patch a écrit :



C’est marrant, j’ai l’impression d’avoir déjà lu/entendu qques dizaines de fois ce truc concernant l’Inde, mais à chaque fois de personnes différentes <img data-src=" />





Doit y avoir une clientèle plutôt conséquente pour faire tourner les “fermes de devs” là bas, et comme pour le prix d’un bon dev en France t’as un pool de 10 là bas le choix est vite fait niveau compta …


votre avatar







Guinnness a écrit :



C’est déja l’ancien monde, il n’y a qu’à regarder les étiquettes sur les fringues, grolles, etc …

Ca devient de plus en plus rare de voir marqué Made in China, comme tu dis c’est devenu trop cher.

Aujourd’hui les usines sont parties au Vietnam, au Cambodge, au Laos, bref là où c’est encore moins cher de produire..

Une fois que les industriels auront fait toute l’Asie il ne le restera plus qu’à retourner exploiter l’Afrique, ça risque de rappeler des souvenirs de famille à quelques grandes fortunes …



Niveau mentalités, l’Afrique ca reste assez particulier côté monde du travail. Je ne suis pas sûr qu’ils puissent réellement y gagner même en payant peu.


votre avatar

Concernant la “qualité chinoise” c’est surtout qu’entre les deux il y a un coûteux intermédiaire qui dira que c’est joli et donnera de la crédibilité à la qualité avec nom moins asiatique.

Les makers qui achètent en direct ne se plaignent pas.



&nbsp;



Guinnness a écrit :




Le problème c'est que la direction voit juste que ça coûte bien moins cher et qu'au final ça fini par marcher quand même, par contre ils ne voient pas(ou ne veulent pas voir) la succession de burnout dans les équipes technique.






Surtout c'est un gars qui a fait un bon travail qu'on aura pas à récompenser. Quand le citron est bien pressé, il n'y a plus qu'à jeter. Un traitement appris à HEC à cause de quelques cas d'indéboulonnables accros au CDI?     



Puis c’est comme la pollution, on a meilleure conscience quand la misère est offshore: loin des yeux, loin du cœur.

Quand on a appris à faire des tableaux Excel sur les PKI des producteurs on s’accroche comme on peut à la caste des brasseurs d’argent, quite à faire quelques sacrifices humains…



&nbsp;

votre avatar

Malheureusement ce n’est pas un mythe et ca marche dans presque tous les secteurs (info, compta…)



Je dirais que les Indiens comme les Chinois ne font pas que de la merde, mais si le but premier du demandeur est de rogner sur les couts de production comme un goret, il ne peuvent qu’en faire (de la merde) vu qu’ils seront payes au lance pierre et je parie qu’ils auront egalement des objectifs quasi irrealistes. =&gt; on ne peut que faire de la merde…



Les comptables sont contents et les equipes locale doivent tout refaire sans le dire le tout en sous-effectif…

votre avatar

  • 1 je vois beaucoup plus de “Made in Vietnam” depuis un moment

votre avatar

“Pebbell, OwnFone Footprint et SureSafeGo”

J’adore. <img data-src=" />

votre avatar







odoc a écrit :



Pour en revenir à l’actu, ça confirme mon opinion sur les objets connectés : j’en reste à du DIY only et local only





C’est local only la reco vocale Google ? (<img data-src=" />)


votre avatar







anagrys a écrit :



le big mac en Chine, c’est un produit exotique, donc relativement cher.

Dans une petite ville (entre 100000 et 500000 habitants) du centre du pays, j’ai pu très bien manger avec ma femme pour environ 4€ (25¥) il y a 2 semaines - sachant que les prix peuvent aussi monter très vite.





Il fait référence à l’indice Big Mac.


votre avatar

le seul truc qui traine encore ^^

après perso je passe par l’API speech dans un javascript, donc c’est pas relié à un compte google (mais à mon IP :s), mais ça reste pas top. Vivement que le projet de Mozilla sorte ;)

votre avatar







odoc a écrit :



le seul truc qui traine encore ^^

après perso je passe par l’API speech dans un javascript, donc c’est pas relié à un compte google (mais à mon IP :s), mais ça reste pas top. Vivement que le projet de Mozilla sorte ;)





Et pourquoi pas Snips qui est open source et local ? (vraie question).


votre avatar







odoc a écrit :



Pour en revenir à l’actu, ça confirme mon opinion sur les objets connectés : j’en reste à du DIY only et local only





Par curiosité qu’est ce que tu entend par “local only” ?

Sachant que toutes les cartes microcontroleurs (raspberry, arduino, etc … ), ainsi d’ailleurs que les circuits eux mêmes, sont fabriqués en Chine et environs je vois pas comment tu fais à moins que tu habites en Asie.


votre avatar

J’imagine qu’il veut dire que le traitement des données issues des objets connectés est fait directement chez lui et non pas chez un hébergeur/prestataire externe pour garder un minimum le contrôle de ce qui en est fait. Pas que le matériel est fabriqué localement.









Transistance a écrit :



Et pourquoi pas Snips qui est open source et local ? (vraie question).





https://www.inpact-hardware.com/article/1001/on-a-installe-snips-assistant-vocal… ? <img data-src=" />


votre avatar







Notice me Sempai a écrit :



Malheureusement ce n’est pas un mythe et ca marche dans presque tous les secteurs (info, compta…)



Je dirais que les Indiens comme les Chinois ne font pas que de la merde, mais si le but premier du demandeur est de rogner sur les couts de production comme un goret, il ne peuvent qu’en faire (de la merde) vu qu’ils seront payes au lance pierre et je parie qu’ils auront egalement des objectifs quasi irrealistes. =&gt; on ne peut que faire de la merde…



Les comptables sont contents et les equipes locale doivent tout refaire sans le dire le tout en sous-effectif…





en fait mon expérience perso avec les indiens, c’est que tout est question de pilotage. Si on attend d’eux un fonctionnement à l’identique par rapport à des déf en France (sur le mode 1 dev FR = 1 dev en Inde, très cher aux décideurs des grandes boîtes) le résultat ne vaudra rien. C’est comme avec des chinois : il ne faut pas oublier de mettre en place une vraie relation, de prendre le temps de leur expliquer ce qu’on fait, de les rassurer sur leur position (si quelque chose leur semble bizarre, ils essaieront de bricoler autour mais ne poseront pas naturellement la question, c’est juste culturel). Bref, il faut un vrai suivi. Et ne pas oublier (autre tarre de nos décideurs qui travaillent au KPI) que là-bas, dans leur métier, ils sont en situation de plein emploi. Donc les bons n’hésitent pas à bouger s’ils trouvent mieux ailleurs.

&nbsp;





tazvld a écrit :



Il fait référence à l’indice Big Mac.





j’ai bien compris. Ce que je dis, c’est que cet indice est peut-être valable pour une ville comme Shanghai ou Beijin, mais que le prix d’un big mac - pas très élevé en France - est au-dessus de ce qu’on peut payer pour un repas complet correct là-bas. Donc pas très pertinent pour évaluer le niveau de vie.


votre avatar

Pour en revenir à la news, j’ai une balise gps qui envoie sa position par retour de sms. C’est juste son fonctionnement normal. Où est la faille? Sans ce sms, je n’ai plus la fonction.

Quand à la possibilité de pirater le truc, avec une batterie qui dure à peine 1h, autant dire que le risque qu’un pirate arrive à le joindre est faible (déjà qu’avec la saturation des numéros en 06, il va falloir spammer du lourd avant de tomber sur un gps de ve type). Bref, je m’interroge sur l’intérêt de publier cette news.

votre avatar

ah non, je parle local only pour la partie réseau : ma domotique n’envoie rien sur internet, elle n’est même pas reliée au réseau. Si j’ai besoin d’information à distance, je passe par des sms (un vieux téléphone avec un carte free à 2€ + tasker).



Evidemment, les puces (ESP dans mon cas) + Rpi ne sont pas locaux.

votre avatar

je connais pas, merci de l’info je regarderais ça ^^

votre avatar

j viens de me souvenir qu’IH https://www.inpact-hardware.com/article/1001/on-a-installe-snips-assistant-vocal… avait fait un test fin 2018 et j’ai jamais eu le temps de m’y mettre. J’ai complétement zappé l’existence de ce dernier. Bref je pense que ce week end je vais pouvoir tester ça.

votre avatar

le fleau de la gestion de personnel… la direction qui a le nez dans les kpi…

mais bon c’est pour leurs gros bonus… ils faut les comprendre

votre avatar

Sachant que ce genre de bidule coute moins cher que le prix de la carte SIM, je doute qu’il soit possible de graver un numéro unique sans doubler voir tripler les coûts.

Par ex 6€43 en tarif individuel si t’achètes un carton ça doit baisser encore:

https://www.gearbest.com/gps-accessories/pp_009363905538.html?wid=1527929.

Une faille béante dans des milliers de traceurs GPS permet d’obtenir la position et d’écouter les conversations

Fermer