Un module GPS, utilisé par de nombreuses entreprises, organisations et agences gouvernementales pour suivre leurs véhicules, contient des failles critiques qui pourraient causer des accidents. Des pirates pourraient non seulement suivre les voitures, mais également les désactiver pendant qu’elles se déplacent.
au sommaire
Des failles dans un petit module GPS pourraient avoir des conséquences très graves. Des chercheurs en cybersécurité de BitSight ont découvert six failles dans le MV720 fabriqué par le Chinois Micodus. Ce petit tracker GPS, vendu partout dans le monde pour une vingtaine de dollars, est installé dans des voituresvoitures pour suivre en temps réel la position et la vitessevitesse du véhicule et permet de couper l'essence en cas de vol.
Le MV720 est commandé via un tableau de bord en ligne, ou simplement par SMS. Environ 1,5 million de modules sont installés dans 169 pays, et sont utilisés par des agences gouvernementales, militaires et de police, et dans diverses industries comme l'aérospatial, la fabrication, le transport et bien d'autres.
Un mot de passe maître codé en dur
Parmi les six failles découvertes, deux ont une sévérité jugée critique avec un score de 9,8 sur 10. La première, CVE-2022-2141, permet d'envoyer certaines commandes au module sans le moindre mot de passe. La seconde, CVE-2022-2107, permet de se connecter au serveurserveur en ligne en utilisant un mot de passe maître codé en dur dans l'appareil. En plus d'avoir accès à la position en temps réel et l'historique, des pirates pourraient utiliser le module pour désactiver les alarmes de la voiture et même désactiver le véhicule en plein milieu de l'autoroute en coupant l'essence.
Étant donné que ce module est utilisé par des industriels, les pirates pourraient désactiver des flottes entières de véhicules de transport de marchandises, et l'utilisation par les militaires pourrait avoir des implications au niveau de la sécurité nationale dans de nombreux pays. Dans son rapport, BitSight conseille de désactiver ou enlever le module dans la mesure du possible, en attendant un éventuel correctif. Micodus n'a pour l'instant pas réagi au rapport.