Automobile : des failles dans ce GPS pourraient causer des accidents mortels

4
Automobile : des failles dans ce GPS pourraient causer des accidents mortels
Automobile : des failles dans ce GPS pourraient causer des accidents mortels

Africa-Press – Benin. Un module GPS, utilisé par de nombreuses entreprises, organisations et agences gouvernementales pour suivre leurs véhicules, contient des failles critiques qui pourraient causer des accidents. Des pirates pourraient non seulement suivre les voitures, mais également les désactiver pendant qu’elles se déplacent.

Kézako : comment fonctionne un GPS ? Le GPS (Global Positioning System), présent dans de nombreux véhicules terrestres, aériens et marins mais aussi dans une majorité de smartphones, fait désormais partie de notre quotidien. Unisciel et l’Université de Lille 1 nous expliquent, avec le programme Kézako, le fonctionnement de ce système et nous rappelle son histoire dans cette courte vidéo didactique.

Des failles dans un petit module GPS pourraient avoir des conséquences très graves. Des chercheurs en cybersécurité de BitSight ont découvert six failles dans le MV720 fabriqué par le Chinois Micodus. Ce petit tracker GPS, vendu partout dans le monde pour une vingtaine de dollars, est installé dans des voitures pour suivre en temps réel la position et la vitesse du véhicule et permet de couper l’essence en cas de vol.

Le MV720 est commandé via un tableau de bord en ligne, ou simplement par SMS. Environ 1,5 million de modules sont installés dans 169 pays, et sont utilisés par des agences gouvernementales, militaires et de police, et dans diverses industries comme l’aérospatial, la fabrication, le transport et bien d’autres.

Un mot de passe maître codé en dur

Parmi les six failles découvertes, deux ont une sévérité jugée critique avec un score de 9,8 sur 10. La première, CVE-2022-2141, permet d’envoyer certaines commandes au module sans le moindre mot de passe. La seconde, CVE-2022-2107, permet de se connecter au serveur en ligne en utilisant un mot de passe maître codé en dur dans l’appareil. En plus d’avoir accès à la position en temps réel et l’historique, des pirates pourraient utiliser le module pour désactiver les alarmes de la voiture et même désactiver le véhicule en plein milieu de l’autoroute en coupant l’essence.

Étant donné que ce module est utilisé par des industriels, les pirates pourraient désactiver des flottes entières de véhicules de transport de marchandises, et l’utilisation par les militaires pourrait avoir des implications au niveau de la sécurité nationale dans de nombreux pays. Dans son rapport, BitSight conseille de désactiver ou enlever le module dans la mesure du possible, en attendant un éventuel correctif. Micodus n’a pour l’instant pas réagi au rapport.

Pour plus d’informations et d’analyses sur la Benin, suivez Africa-Press

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here