Une faille de sécurité dans un GPS chinois a exposé 1,5 million de véhicules sensibles. La société derrière ce GPS compte pas moins de 420 000 clients dans le monde dont des entreprises disposant de flottes de véhicules, des gouvernements ou encore des armées.

Cette faille a été révélée par une étude réalisée par la société de cybersécurité BitSight. Cette entreprise a découvert que le modèle de GPS MV720 de l’entreprise chinoise MiCODUS, basée à Shenzhen, contient des failles de sécurité ayant exposé 1,5 million de véhicules sensibles.

Ces failles auraient ainsi permis de suivre et couper à distance le moteur des véhicules en étant équipés, partout à travers le monde. BitSight affirme par ailleurs que MiCODUS n’a fait aucun effort pour corriger ces failles. Les experts en cybersécurité de BitSight ont commenté : « ces failles peuvent être exploitées facilement et à distance pour suivre n’importe quel véhicule en temps réel, accéder aux itinéraires passés et même couper les moteurs des véhicules en mouvement ». Pedro Umbelino, auteur du rapport, affirme que ces failles peuvent facilement être exploitées et que leur nature soulève des questions sur la sécurité d’autres modèles de GPS de l’entreprise. Ce problème est particulièrement grave puisque ce GPS équipe des véhicules appartenant à des armées et à des gouvernements. BitSight et la Cybersecurity and Infrastructure Security Agency ont donc averti l’ensemble des personnes et entités détenant un véhicule équipé de l’un de ces GPS.

BitSight a dénombré pas moins de six vulnérabilités, toutes de gravité élevée. Certaines d’entre elles se trouvent directement dans le GPS et d’autres sont dans le tableau de bord utilisé pour suivre la flotte de véhicules. Plusieurs de ces failles concernent les mots de passe. Ainsi, un mot de passe codé en dur permet de prendre le contrôle total de n’importe quel traceur GPS et ainsi accéder à sa localisation en temps réel, à ses itinéraires passés, et peut même couper l’alimentation en carburant du véhicule. N’importe quel individu peut obtenir ce mot de passe simplement en fouillant le code de l’application Android du GPS. De plus, le mot de passe par défaut des véhicules est simplement « 123456 ». Dans un échantillon de 1 000 véhicules testés, ce mot de passe n’avait pas été changé pour 95% d’entre eux, certainement car l’application n’invite pas les utilisateurs à le modifier. Ces GPS sont particulièrement présents au Brésil, en Ouzbékistan, en Russie, en Ukraine, mais également en Pologne, en Allemagne, en Espagne et en France.

Cette affaire révèle les challenges actuels de la cybersécurité. Alors que de plus en plus d’appareils et de composantes sont connectés, il s’avère très difficile de s’assurer qu’aucun d’entre eux ne contient de faille, d’autant plus quand ils sont fabriqués par différentes entreprises à travers le monde.