Un hacker répondant au nom de L&M a décelé une brèche informatique au cœur de deux applications GPS professionnelles : iTrack et ProTrack. Outre la géolocalisation du véhicule et le vol de données, le pirate serait en mesure de stopper le moteur à distance. Et créer, s’il le souhaite, un "embouteillage de grande envergure".

Respectivement développées par les entreprises chinoises iTryBrand Technology et SEEWORLD, les applications GPS professionnelles ProTrack et iTrack ont du plomb dans l’aile. Non pas parce que leur base d’utilisateurs tend à diminuer — bien que cela puisse rapidement arriver — mais parce que leur système a été la cible d’une attaque informatique menée sous la houlette d’un certain L&M.

Décrite dans un article publié chez MotherBoard, cette affaire met ainsi en exergue le faible niveau de sécurité des applications susmentionnées, utilisées par les sociétés pour surveiller et organiser leur flotte de véhicules grâce à des dispositifs de suivi GPS. Au total, plus de 7000 comptes iTrack et 20 000 comptes ProTrack ont été piratés un peu partout dans le monde : de l’Afrique du Sud au Maroc en passant par l’Inde et les Philippines.

Une cyberattaque par bruteforce

Pour ce faire, le hacker a fait appel à une technique relativement courante dans le secteur de la cybercriminalité : une attaque par bruteforce, qui consiste à tester un grand nombre de combinaisons jusqu’à tomber sur la bonne. Dans notre cas, l’intéressé s’est appuyé sur les API des applications. Surprise : un grand nombre d’utilisateurs n’avaient pas modifié leur mot de passe par défaut, le sempiternel 123456.

Après quelques manipulations informatiques consistant notamment à écrire du script, L&M est parvenu à s’introduire dans des milliers de comptes au password inchangé. Pour un résultat riche en données : nom et modèle du dispositif de tracking GPS, numéro d’identification, nom d’utilisateur, nom et prénom, numéro de téléphone, adresse email et adresse postale. Selon les victimes, le quantité de data variait.

Double application GPS au bord de ce cockpit. // Crédit photo : Mark Cruz via Unsplash.

Cette violation de données pour le moins inquiétante a dans la foulée été confirmée par Motherboard. Pour certifier la véracité des propos du pirate, le média américain a contacté quatre cibles dont l’identité a été partagée dans un échantillon fourni par L&M. Mais surtout, ce dernier se trouve dans une position de force vis-à-vis des compagnies visées.

Si cette brèche lui a permis de dérober un grand nombre d’informations personnelles, elle lui donne surtout accès à la géolocalisation de chaque véhicule équipé de ces applications. Pis, l’attaquant serait même en mesure de couper leur moteur à distance, mais sous certaines conditions : la voiture doit être à l’arrêt ou filer à une allure de 19 km/h, ou moins. Ce qui, en somme, est monnaie courante en ville.

« Ma cible était les sociétés, et non les clients »

« Je peux tout à fait créer un embouteillage de grande envergure n’importe où dans le monde. J’ai un contrôle total sur des centaines de milliers de véhicules, que je peux stopper instantanément », s’est vanté le pirate auprès de Motherboard, qui, par la voie de Concox, l’un des fabricants des dispositifs, corrobore ces propos. « Ma cible était les sociétés, et non les clients » a-t-il tenu à préciser.

Et d’expliquer plus en détail les raisons de son acte : « Ces derniers sont en danger à cause des sociétés. Elles ont besoin de gagner de l’argent, mais ne veulent pas assurer la sécurité de leurs clients ». L&M en a tout de même profité pour quémander une récompense financière aux deux groupes asiatiques. L’un d’entre eux, ProTrack, en a accordé une à un « prix modique ».

Partager sur les réseaux sociaux