Les systèmes connectés ont beau être de plus en plus élaborés et sécurisés, ils suffit d’un seul mot de passe trop facile à deviner (par exemple « 123456 ») pour que tout un édifice de sécurité s’écroule. En témoigne le pirate L&M qui vient d’affirmer au magazine américain « Motherboard » qu’il aurait réussi à prendre le contrôle de différents véhicules via leur système de navigation GPS. Cette simple intrusion lui permet ensuite de suivre à la trace chaque voiture et, surtout, de stopper son moteur en un seul clic. Sachant que des milliers de véhicules sont concernés, il y a de quoi semer le chaos.
27 000 comptes piratés
En ligne de mire, les applications GPS dont les versions iTrack et ProTrack permettent aux entreprises de géolocaliser en temps réel leur flotte de véhicules. Bien qu’elles soient cryptées et sécurisées, ces applications comportent un véritable talon d’Achille : elles proposent un mot de passe par défaut très aisé à deviner. Une faille aberrante qui aurait permis au hacker L&M de prendre le contrôle de pas moins de 7 000 comptes iTrack et 20 000 ProTrack !
Des données confidentielles obtenues
Grâce à ces mots de passe restés inchangés, L&M a pu avoir accès à de nombreuses informations telles que le nom et le modèle du véhicule ainsi que l’identifiant de l’appareil IMEI (International Mobile Equipment Identity) du système GPS. Plus grave encore, le pirate a pu obtenir les informations personnelles du conducteur : nom, prénom, numéro de téléphone, adresse e-mail et même adresse postale.
Les fabricants GPS dans le collimateur
Autre point préoccupant, ces systèmes GPS disposent d’une option capable de stopper une voiture, pour peu qu’elle se déplace à moins de 12 km/h, en la piratant. L&M est donc en mesure d’éteindre les moteurs concernés. Néanmoins, le hacker assure ne pas chercher à semer la panique dans les rues des villes. Il cherche plutôt à alerter les fabricants sur la vulnérabilité de leurs systèmes de sécurité. « Ma cible, ce sont les fabricants, pas les utilisateurs. Les utilisateurs courent un risque à cause de ces entreprises qui ne cherchent qu’à faire de l’argent, sans tenir compte de la sécurité des gens », peut-on lire dans l’article de Motherboard. Le hacker serait-il un Robin des bois des temps modernes ? Pas si sûr, sachant qu’il aurait tout de même réclamé une rançon aux deux fabricants de GPS impliqués…
Ségolène Kahn
Commentez