Le Global Positioning System (GPS) (en français : « Système mondial de positionnement ») est un outil qui permet aux sociétés de transport de suivre leurs véhicules. Pour suivre leurs parcours, le GPS est proposé et géré chez beaucoup d’agences spécialisées. Avec cet outil, on peut contrôler les trajets d’une flotte de véhicules, leurs vitesses, leurs consommations, leurs temps d’arrêts, de poses, et voir la santé des véhicules de la flotte.

Un pirate informatique a récemment démontré qu’il était en mesure d’accéder à 2 applications populaires de suivi GPS lui permettant de connaître l’emplacement des voitures, d’accéder aux informations privées des conducteurs, et même d’arrêter les moteurs de ces véhicules à distance. Le pirate en question annonce qu’il peut créer un gros problème de trafic dans le monde entier. Les 2 applications célèbres de surveillance de véhicules par lesquelles il est passé sont iTrack et ProTrack. Ces applications ont été conçues par des sociétés iTryBrand Technology et SEEWORLD, toutes les 2 basées en Chine.

Ces applications sont utilisées par des entreprises qui peuvent grâce à elles, surveiller leur flotte de véhicules. Le pirate a fait savoir que le but de cette démonstration était d’attirer l’attention des entreprises sur la fragilité de leurs systèmes de sécurité. Ce pirate, connu sous le nom de L&M, a été en mesure de pirater plus de 27000 comptes dont plus de 7000 pour l’application iTrack et un peu plus de 20000 pour ce qui est de ProTrack. Il précise aussi que sur certaines de ces voitures, l’application utilisée disposait d’un bouton permettant d’arrêter les moteurs des véhicules en arrêt ou qui roulent à moins de 13 km/h.

Le pirate a expliqué comment il s’y était pris pour pénétrer ces applications de suivi GPS. Il fait savoir que pour ces applications, les clients reçoivent un mot de passe par défaut (123456) dès leur inscription, mais que très peu d’entre eux pensaient à le modifier. Il confie donc s’être servi de ce mot de passe par défaut et avoir écrit un script qui combinait ce mot de passe par défaut avec des millions de noms d’utilisateurs qu’il avait obtenus en forçant les API de ces applications. En procédant ainsi, il a pu entrer en possession de plusieurs informations des utilisateurs de ces applications de suivi GPS.


Parmi les informations des utilisateurs récupérées par le pirate, il y a le nom et le modèle des dispositifs de repérage GPS utilisés, les numéros d’identification uniques de ces dispositifs, les noms d’utilisateur, les vrais noms des utilisateurs, les numéros de téléphone, les adresses e-mail et adresses physiques. Il semble que le pirate n’ait pas été en mesure d’obtenir toutes ces informations pour tous les utilisateurs et dans certains cas, il n’a pu obtenir qu’une partie de ces informations.

Le pirate déclare que bien qu’ayant exigé une récompense aux 2 sociétés détentrices de ces applications de suivi GPS, il était surtout préoccupé par la protection des clients : « Mes cibles étaient les sociétés, pas les clients. Les clients sont en danger à cause des sociétés. Elles veulent juste gagner de l’argent et ne veulent pas sécuriser leurs clients ». Bien qu’il en avait la possibilité, le pirate a déclaré n’avoir jamais arrêté le moteur d’un véhicule car ce serait trop dangereux.

Le pirate confie qu’après cette attaque, la société ProTrack aurait contacté ses clients via son application et par e-mail pour leur demander de changer leur mot de passe cette semaine. Quant à iTrack, la société a ajouté sur son site, une infobulle qui invite les clients à changer de mot de passe par défaut.

Il confie également avoir échangé avec un représentant de ProTrack au sujet de la récompense qu’il exigeait et déclare que ce dernier l’exhortait à n’exiger qu’une faible rançon. Il n’en a pas dit plus, mais déclare être satisfait de la situation au final : « Ils ont été mis en garde après mon attaque. Les forcer à veiller à la sécurité de leurs applications a été un succès pour moi. Ils savent désormais les risques qu’encourent leurs clients. Ils se sont donc concentrés sur la manière de sécuriser un peu plus leurs services ».

Le GPS nous guide mais nous surveille…
Étiqueté avec :