Des failles critiques dans un traceur GPS permettent des piratages "désastreux" et menacent la vie des utilisateurs
les pirates peuvent suivre ou désactiver à distance les voitures en mouvement

Une série de vulnérabilités, dont certaines sont critiques, a été récemment découverte dans un dispositif de suivi GPS du chinois MiCODUS. Ces vulnérabilités pourraient permettre à des criminels de perturber le fonctionnement des véhicules et d'espionner les itinéraires, voire de contrôler à distance ou de couper le carburant des véhicules. Il n'existe aucun correctif pour ces failles de sécurité pour l'instant. Le gouvernement américain et la société de cybersécurité BitSight conseillent au public de cesser immédiatement d'utiliser le dispositif, dont 1,5 million d'unités seraient actuellement déployées chez 420 000 clients.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis en garde cette semaine contre l'utilisation d'un traqueur GPS très répandu : le MiCODUS MV720. Ce dispositif de suivi GPS serait frappé par plusieurs vulnérabilités graves qui pourraient mettre en danger la vie humaine. Deux des bogues ont reçu une note de gravité CVSS de 9,8 sur 10. Elles peuvent être exploitées pour envoyer des commandes au MiCODUS MV720 à exécuter sans authentification significative ; les autres impliquent un certain degré d'exploitation à distance. Selon une évaluation de BitSight, il y aurait au moins six vulnérabilités présentes dans le traqueur GPS.

« Une exploitation réussie de ces vulnérabilités pourrait permettre à un acteur de la menace de contrôler n'importe quel traqueur GPS MV720, en lui donnant accès à la localisation, aux itinéraires, aux commandes de coupure de carburant et au désarmement de diverses fonctions (par exemple, les alarmes) », a averti la CISA dans un avis publié mardi. Les chercheurs en sécurité de BitSight, Pedro Umbelino, Dan Dahlberg et Jacob Olcott, ont découvert les six vulnérabilités et les ont signalées à la CISA après avoir essayé depuis septembre 2021 de partager les résultats avec MiCODUS. Ce dernier n'aurait jamais répondu aux chercheurs de BitSight.

Nom : micodus-mv720-800x417.jpeg
Affichages : 1567
Taille : 59,6 Ko

« Après avoir raisonnablement épuisé toutes les options pour contacter MiCODUS, BitSight et la CISA ont déterminé que ces vulnérabilités justifiaient une divulgation publique », indique un rapport de BitSight publié mardi. Pour ses recherches, l'équipe de BitSight a utilisé le modèle MV720, qui, selon la société, est le moins cher de MiCODUS avec une fonction de coupure de carburant. L'appareil est un traqueur cellulaire qui utilise une carte SIM pour transmettre des mises à jour de statut et de localisation aux serveurs de support et recevoir des commandes SMS. Voici un récapitulatif des vulnérabilités découvert par les chercheurs de BitSight:

  • CVE-2022-2107 est une vulnérabilité liée à un mot de passe codé en dur dans le serveur API de MiCODUS. Elle a reçu un score CVSS de 9,8 et permet à un attaquant distant d'utiliser un mot de passe principal codé en dur pour se connecter au serveur Web et envoyer des commandes SMS au traqueur GPS d'une cible. Ces ordres semblent provenir du numéro de téléphone mobile du propriétaire du GPS et peuvent permettre à un pirate de prendre le contrôle de n'importe quel traqueur, d'accéder à la localisation du véhicule et de la suivre en temps réel, de couper le carburant et de désarmer les alarmes ou d'autres fonctions fournies par le gadget ;
  • CVE-2022-2141, en raison d'une authentification défaillante, a également reçu un score CVSS de 9,8. Cette faille pourrait permettre à un attaquant d'envoyer des commandes SMS au dispositif de suivi sans authentification.
  • une faille dans le mot de passe par défaut, qui est détaillée dans le rapport de BitSight, mais à laquelle la CISA n'a pas attribué de CVE, "représente toujours une vulnérabilité grave". Aucune règle n'oblige les utilisateurs à changer le mot de passe par défaut, qui est "123456", sur les appareils, ce qui permet aux criminels de deviner ou de supposer facilement le mot de passe d'un traqueur ;
  • CVE-2022-2199, une vulnérabilité de type "cross-site scripting" (XSS), existe dans le serveur Web principal et pourrait permettre à un attaquant de compromettre entièrement un appareil en incitant son utilisateur à faire une requête - par exemple, en envoyant un lien malveillant dans un e-mail, un tweet ou un autre message. Il a reçu une note CVSS de 7,5 ;
  • le serveur Web principal présente une vulnérabilité de type "insecure direct object reference" (référence directe non sécurisée aux objets), répertoriée sous le nom de CVE-2022-34150, sur les identifiants des dispositifs d'extrémité et des paramètres. Cela signifie qu'ils acceptent des identifiants de périphériques arbitraires sans autre vérification. « Dans ce cas, il est possible d'accéder aux données de n'importe quel Device ID dans la base de données du serveur, quel que soit l'utilisateur connecté. Des informations supplémentaires capables d'intensifier une attaque pourraient être disponibles, comme les numéros de plaque d'immatriculation, les numéros de carte SIM, les numéros de téléphone mobile », explique BitSight. Il a reçu une note CVSS de 7.1 ;
  • enfin, CVE-2022-33944 est une autre vulnérabilité de référence directe non sécurisée aux objets sur le serveur Web principal. Cette faille, sur le point de terminaison et le paramètre POST "Device ID", accepte des identifiants de périphériques arbitraires, et a reçu un score de sévérité de 6,5.


Avant la publication des découvertes, le fabricant du gadget, basé en Chine, n'avait fourni aucune mise à jour ou aucun correctif pour corriger les failles. La CISA a recommandé aux propriétaires et aux exploitants de flottes de prendre des "mesures défensives" pour minimiser les risques. Le fabricant affirme que 1,5 million de ses dispositifs de suivi sont déployés chez 420 000 clients. BitSight a découvert que le dispositif était utilisé dans 169 pays, avec des clients tels que des gouvernements, des armées, des organismes chargés de l'application de la loi, ainsi que des entreprises aérospatiales, maritimes et manufacturières.

« BitSight recommande aux personnes et aux organisations qui utilisent actuellement des dispositifs de suivi GPS MiCODUS MV720 de désactiver ces dispositifs jusqu'à ce qu'un correctif soit disponible. Les organisations qui utilisent un traqueur GPS MiCODUS, quel que soit le modèle, doivent être alertées de l'insécurité concernant son architecture système, qui peut mettre tout dispositif en danger », conclut le rapport de BitSight.

Sources : La CISA, Rapport de BitSight (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des failles découvertes dans le dispositif suivi GPS de MiCODUS ?
Selon vous, les avantages de ces gadgets l'emportent-ils sur les risques qu'ils pourraient représenter ?

Voir aussi

Un homme arrêté, accusé d'avoir tenté de suivre une femme à l'aide d'une Apple Watch fixée au pneu de sa voiture

600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger

Les AirTag d'Apple sont liés à plusieurs affaires de harcèlement et de vol, les plaintes contre l'outil développé pour vous aider à simplifier la géolocalisation de vos affaires se multiplient

Des rapports de police montrent que des femmes sont traquées par des Apple AirTags, l'outil développé par Apple pour vous aider à simplifier la géolocalisation de vos affaires