Un traceur GPS populaire originaire de Chine a démontré plusieurs défaillances inquiétantes. Avec de simples manipulations, il était possible d’écouter ses propriétaires et d’avoir accès à leur position. Une constatation d’autant plus grave que le traceur pouvait être utilisé pour suivre les enfants et servir d’alarme en cas de problèmes pour les personnes âgées. Les chercheurs en sécurité à l’origine de la découverte considèrent que la faute devrait entraîner un rappel du produit.

Un traceur GPS de marque blanche fabriqué en Chine, puis baptisé et vendu par plus d’une douzaine d’entreprises dont SureSafeGo, Pebbel, et OwnFone Footprint, a montré des défaillances très inquiétantes. L’appareil utilise une carte SIM pour se connecter au réseau cellulaire 2G/GPRS, bien qu’il ne dispose pas d’une connectivité internet. Cela le rendrait sensible aux SMS, par le biais desquels il serait possible de le contrôler à distance.

En effet, les chercheurs britanniques en cybersécurité de Fidus Information Security affirment que l’appareil peut être piégé pour restituer la position en temps réel de l’utilisateur. Pour cela, il suffirait de lui envoyer un message texte avec un mot clé. Grâce à une autre manipulation, il est possible d’appeler l’appareil et d’écouter les propos autour de lui grâce au microphone intégré en son sein. Ceci sans inquiéter personne, aucun témoin visuel ne permet de constater que le traceur GPS est en cours d’appel. Il serait également possible de détruire le signal de l’appareil, ce qui le rend inutile.

L’appareil peut être protégé par un code PIN, mais il n’est évidemment pas activé par défaut. De plus, il est possible de réinitialiser l’appareil sans avoir accès au code, ce qui ouvre la voie à d’autres manipulations. Andrew Mabbit, qui a rédigé les conclusions des recherches de Fidus, a déclaré « Cet appareil est commercialisé pour assurer la sécurité des personnes les plus vulnérables et pourtant, n’importe qui peut localiser et écouter des milliers de personnes à leur insu (…) De nos jours, tout est lié d’une façon ou d’une autre et nous semblons laisser la sécurité derrière nous; ça ne va pas bien finir ».

Une personne voulant accéder à l’appareil n’a besoin que du numéro de téléphone pour agir, selon monsieur Mabbit. Or, son équipe a démontré qu’il était facile d’en trouver des centaines reliés à ce type de dispositifs très facilement à partir d’un seul dispositif connu. Le média TechCrunch a testé les astuces des chercheurs. En envoyant un message à un traceur GPS acheté par ces derniers, ses équipes ont reçu en retour les coordonnés précises de l’appareil. Il était également possible d’accéder à son numéro IMEI et au niveau de la batterie. L’écoute par le biais du microphone en appelant a également fonctionné.

Actuellement, des milliers d’exemplaires de cet appareil circulent un peu partout dans le monde, dont environ 10 000 au Royaume-Uni. On ignore si les entreprises les ayant vendus vont les récupérer, mais ce serait le seul moyen de corriger leur défaut selon Fidus. L’entreprise de cybersécurité se montre très critique, selon eux le problème aurait pu être facilement évité. « Tous ce qu’ils avaient à faire était d’imprimer un code unique sur l’appareil et d’exiger qu’il soit utilisé pour changer les configurations (…) » .

Alors que les parents semblent de plus en plus nombreux à s’intéresser au suivi GPS et autres technologies pour surveiller leurs enfants, les outils de géolocalisation paraissent n’avoir jamais été aussi dangereux. Fin mars 2019, une application parentale de suivi avait exposé les données de 238 000 utilisateurs, dont de nombreux enfants.