Problème 2354

BOSTON (AP) – Un tracker GPS automobile fabriqué en Chine et utilisé dans 169 pays présente de graves vulnérabilités logicielles, ce qui représente un danger potentiel pour la sécurité routière, la sécurité nationale et les chaînes d'approvisionnement, ont découvert des chercheurs en cybersécurité.

Un rapport de la société de cybersécurité de Boston la société BitSight indique que les failles pourraient laisser les attaquants à distance détourner des véhicules équipés d'appareils, leur couper le carburant et autrement prendre le contrôle pendant qu'ils voyagent.

Les chercheurs disent que les utilisateurs doivent immédiatement désactiver le tracker GPS MV720 jusqu'à ce qu'un correctif soit disponible. Le rapport a été publié mardi pour coïncide avec un avis de la U.S. Cybersecurity and Infrastructure Security Agency énumérant cinq vulnérabilités.

BitSight a déclaré avoir tenté sans succès pendant des mois – à partir de septembre, avec la CISA le rejoignant fin avril – d'engager le fabricant, MiCODUS, basé à Shenzen, dans une discussion sur les vulnérabilités. L'Associated Press a téléphoné et envoyé un e-mail à l'entreprise mais n'a obtenu aucune réponse. Une personne qui a répondu à un numéro de téléphone indiqué sur son site Web n'a pas pu répondre en anglais.

La CISA a déclaré dans un communiqué qu'elle n'était au courant d'aucune "exploitation active" des vulnérabilités.

Les trackers GPS sont utilisés dans le monde entier pour surveiller les flottes de véhicules - des camions aux autobus scolaires en passant par les véhicules militaires - et les protéger contre le vol. En plus de collecter des données sur l'emplacement des véhicules, ils surveillent généralement d'autres paramètres, tels que le comportement du conducteur et la consommation de carburant. Grâce à l'accès à distance, beaucoup sont câblés pour couper le carburant ou l'alarme d'un véhicule, verrouiller ou déverrouiller ses portes et plus encore.

En utilisant le MV720, qui, selon BitSight, coûte moins de 25 $ par unité, un utilisateur malveillant pourrait couper à distance la conduite de carburant d'un véhicule en mouvement, connaître le localisation en temps réel à des fins d'espionnage ou d'interception et de localisation de corruption ou d'autres données pour saboter des opérations, a déclaré le chercheur principal de BitSight sur le projet, Pedro Umbelino.

Il a déclaré que plusieurs scénarios malveillants sont possibles : les véhicules des premiers intervenants pourraient être paralysés, ou un pirate informatique pourrait éteindre un moteur et exiger une rançon en crypto-monnaie des victimes pour éviter d'appeler un mécanicien.

Les principales vulnérabilités : l'appareil est livré avec un mot de passe par défaut que plus de 90 % des utilisateurs ne changent pas, et il existe un deuxième mot de passe obscur mais codé en dur qui fonctionne pour tous les appareils, a découvert BitSight. Il a également trouvé des failles de sécurité dans le logiciel du serveur Web utilisé pour gérer à distance les appareils GPS.

Le fabricant MiCODUS revendique une base installée de 1,5 million d'appareils sur 420 000 clients, a déclaré BitSight. Ses recherches ont révélé qu'ils comprenaient une société énergétique Fortune 50 et une société aérospatiale, une armée nationale en Amérique du Sud et en Europe de l'Est, un exploitant de centrale nucléaire et une agence nationale d'application de la loi en Europe occidentale. Il n'en a nommé aucun. Pays comptant le plus d'utilisateurs inclus, par continent : Brésil, Mexique, Espagne et Russie.

Richard Clarke, l'ancien tsar américain de la cybersécurité, a qualifié l'appareil GPS non sécurisé d'encore un autre exemple de produit intelligent fabriqué en Chine "qui téléphone à la maison et pourrait être utilisé à des fins malveillantes par le gouvernement chinois".

Alors que Clarke a déclaré qu'il doutait que le tracker ait été conçu à cette fin, le danger est réel car les entreprises chinoises sont obligées par la loi de suivre les ordres de leur gouvernement - c'est pourquoi Washington a cherché à minimiser les composants chinois dans les réseaux de télécommunications américains et pourquoi certains au Congrès font pression pour interdire les achats de drones chinois par le gouvernement américain.

"Vous vous demandez simplement, à quelle fréquence allons-nous trouver ces choses qui sont des infrastructures – où il y a un potentiel d'abus chinois – et les utilisateurs ne le savent pas ?" dit Clarke.