Selon des chercheurs de la firme de cybersécurité BitSight, un GPS de la société chinoise MiCODUS contient des vulnérabilités pouvant avoir des conséquences désastreuses, voire mortelles si elles sont exploitées.
Depuis plusieurs mois, la société de cybersécurité BitSight cherche à contacter le fabricant MiCODUS concernant les failles de sécurité découvertes dans l’un de ses GPS, le MV720. Il peut être contrôlé via un tableau de bord en ligne ou par SMS. N’y étant pas parvenue, elle vient de publier ses recherches au vu du danger que représentent ces vulnérabilités pour les utilisateurs. L’exploitation de ces dernières – au nombre de six – permettrait en effet à un hacker de prendre le contrôle de l’appareil et de suivre des véhicules en temps réel.
La faille de sécurité la plus grave concerne un mécanisme d’authentification dans l’application mobile. Étant défectueux, il permet d’accéder à n’importe quel appareil à l’aide d’un mot de passe codé en dur. Plus précisément, un pirate peut se connecter au serveur en ligne, usurper l’identité de l’utilisateur et envoyer directement des commandes SMS au GPS comme si elles provenaient du numéro de son propriétaire. En plus d’avoir accès aux informations de localisation, il aurait la possibilité de désactiver les alarmes du véhicule, mais aussi de l’arrêter brusquement en coupant le carburant.
Un danger pour la vie des utilisateurs et la sécurité nationale
Selon les chercheurs de BitSight, ces vulnérabilités sont susceptibles d’entraîner la mort et des dommages matériels tout en constituant une menace pour la vie privée et la sécurité nationale de plusieurs pays. Environ 1,5 million des dispositifs de MiCODUS sont actuellement utilisés par des particuliers et des organisations dans 169 pays, dont la France. Parmi celles-ci, les chercheurs mentionnent notamment des agences gouvernementales, des forces armées et des forces de l’ordre, ainsi que des entreprises couvrant divers secteurs tels que l’aérospatiale, l’ingénierie ou encore le transport maritime. Des flottes entières de véhicules pourraient ainsi être désactivées par des hackers.
Au vu de l’impact et de la gravité des vulnérabilités découvertes, les chercheurs de BitSight recommandent aux utilisateurs de ne plus se servir ou de désactiver le GPS jusqu’à ce que des correctifs soient disponibles. Les tentatives de contacter MiCODUS ayant été infructueuses, la firme a par ailleurs partagé ses recherches avec la Cybersecurity and Infrastructure Agency (CISA), une agence fédérale du département de la Sécurité intérieure des États-Unis. « Au 18 juillet, MiCODUS n’a pas fourni de mises à jour ou de correctifs pour atténuer ces vulnérabilités », a indiqué l’agence. Elle recommande également aux utilisateurs de prendre des mesures défensives pour minimiser le risque d’exploitation de ces vulnérabilités, comme de s’assurer que les appareils ne soient pas accessibles depuis Internet.