Un pirate a pénétré les services de localisation de véhicules GPS ProTrack et iTrack afin d'extorquer une somme de « récompense » et révéler les vulnérabilités du système.
Un pirate agissant sous le pseudonyme « L&M » a infiltré deux systèmes de localisation de véhicules, ProTrack et iTrack, obtenant l'accès à plus de 27 000 comptes en Afrique du Sud, au Maroc, en Inde, aux Philippines, et dans d'autres pays. L&M avait accès aux informations clients telles que les noms, les adresses de domiciles, les numéros de téléphone, les noms d'utilisateurs et les adresses e-mail. Il était en mesure de surveiller les emplacements et les mouvements des véhicules. La découverte la plus inquiétante était que le pirate était en mesure de mettre hors service à distance le moteur de certains véhicules.
L&M a expliqué au site d'actualités technologiques Motherboard que la première étape dans le piratage des systèmes avait été de procéder à une rétro-ingénierie des applications Android ProTrack et iTrack. C'est ainsi que L&M a découvert que le même mot de passe par défaut était assigné à tous les clients : 123456. Le pirate a profité des API des applications pour forcer des millions de noms d'utilisateurs. En fin de compte, le pirate s'est connecté en utilisant les noms d'utilisateurs volés et les mots de passe par défaut. L&M a réussi à pirater plus de 20 000 comptes ProTrack et plus de 7 000 comptes iTrack. Pour certains comptes, si le véhicule circulait à moins de 21 km/h, L&M était en mesure d'éteindre le moteur à distance.
Le pirate a rapporté n'avoir éteint aucun moteur, déclarant à Motherboard que : « Ma cible était l'entreprise, pas les clients. Les clients courent un risque à cause de l'entreprise. » L&M a affirmé avoir contacté les deux entreprises pour obtenir une somme de « récompense », ajoutant qu'il a au final obtenu ce qu'il voulait.
ProTrack et iTrack, dont les sièges sont en Chine, vendent des services de localisation basés sur le cloud. Alors que iTrack n'ait pas fait de commentaires sur cette faille, ProTrack a démenti les évènements et a envoyé cette déclaration à Motherboard : « Notre système fonctionne à merveille et le changement de mot de passe est une procédure habituelle pour la sécurité des comptes comme pour d'autres systèmes. »
« La technologie est surprenante et peut nous aider à améliorer nos vies et nos entreprises, » souligne Luis Corrons, expert de la sécurité chez Avast. « Mais comme nous le répétons sans cesse, il est vital d'ajouter la sécurité à la conception de tout et de chaque système. Cette faille est le parfait exemple de ce qu'il ne faut jamais faire : le même mot de passe par défaut pour tous les utilisateurs et pas d'authentification à deux facteurs. »
Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.
Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com.
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.
