Selon une nouvelle étude réalisée par la société de cybersécurité BitSight, une faille de sécurité dans un GPS chinois (le MV720), fabriqué par MiCODUS, une société d'électronique basée à Shenzhen, a exposé 1,5 million de « véhicules sensibles ».
Un GPS chinois particulièrement vulnérable
Les résultats de l'étude montrent que les failles de sécurité de ce GPS chinois très répandu ont pu être facilement exploitées pour « suivre et couper à distance le moteur d'au moins 1,5 véhicules dans le monde ». Selon BitSight, la société chinoise qui fabrique ce GPS n'a fait aucun effort pour corriger les failles. La société a plus de 420 000 clients dans le monde, notamment des entreprises possédant des flottes de véhicules, des organismes chargés de faire respecter la loi, des armées ou encore des gouvernements nationaux. Les failles découvertes ne sont pas anodines.
Selon les experts en cybersécurité, elles peuvent être « exploitées facilement et à distance pour suivre n'importe quel véhicule en temps réel, accéder aux itinéraires passés et même couper les moteurs des véhicules en mouvement ». Pedro Umbelino, l'auteur du rapport, a déclaré que les vulnérabilités ne sont pas difficiles à exploiter et que la nature des failles soulève de nombreuses questions sur la vulnérabilité d'autres modèles. Compte tenu de la gravité de la situation, BitSight et la CISA (Cybersecurity and Infrastructure Security Agency),ont averti les propriétaires des véhicules.
Des failles dangereuses pour les propriétaires des véhicules concernés
En tout, il y a six vulnérabilités. Elles sont toutes classées comme étant de gravité « élevée ». Certaines se trouvent dans le GPS, tandis que d'autres se trouvent dans le tableau de bord que les clients utilisent pour suivre leur flotte de véhicules. La faille la plus grave est un mot de passe codé en dur qui peut être utilisé pour prendre le contrôle total de n'importe quel traceur GPS. Une personne malveillante peut donc accéder à la localisation en temps réel du véhicule, à ses itinéraires passés et surtout stopper l'alimentation en carburant des véhicules. Comme le mot de passe est intégré directement dans le code de l'application Android, n'importe qui peut le trouver.
L'étude a également révélé que le mot de passe par défaut du GPS était « 123456 » et que 95% d'un échantillon de 1 000 appareils testés étaient accessibles avec ce mot de passe par défaut. Probablement parce que les propriétaires ne sont pas invités à changer le mot de passe de l'appareil lors de l'installation. Les GPS fabriqués par MiCODUS se trouvent notamment en Ukraine, en Russie, en Ouzbékistan au Brésil, ainsi qu'en Europe (notamment en Espagne, en Pologne, en Allemagne et en France). Selon Stephen Harvey, PDG de BitSight, les vulnérabilités peuvent avoir des « conséquences désastreuses » pour les propriétaires des véhicules concernés.
