Un pirate pouvait localiser des milliers de voitures et couper leurs moteurs à distance via des applications GPS mal sécurisées.

 
Sur une période relativement courte, les ordinateurs sont passés de votre bureau à votre poche, pour finalement envahir votre véhicule et vous assister pendant que vous vous rendez au travail.
À mesure que la technologie évolue, l’informatique mobile ne se résume pas uniquement au smartphone que nous transportons partout avec nous, mais inclue désormais les véhicules qui nous transportent partout.
Et c’est un véritable problème si leur sécurité continue à être à ce point négligée.
Selon le journaliste de Motherboard, Lorenzo Franceschi-Bicchierai, un pirate aurait réussi à infiltrer des comptes appartenant à des utilisateurs d’applications GPS, ce qui lui permettrait de surveiller l’emplacement de dizaines de milliers de véhicules, et même de couper le moteur de certains d’entre eux alors qu’ils se déplacent.
 

 
Le hacker, qui n’est connu que par le pseudonyme «L & M», affirme avoir piraté plus de 20 000 comptes appartenant aux utilisateurs de l’application Protrack GPS et plus de 7 000 comptes de l’application iTrack.
L & M a examiné le code source des versions Android des applications, ce qui permet aux entreprises de suivre leur parc de véhicules en temps réel, et a été choqué de constater qu’un mot de passe par défaut était attribué à tous les clients lors de leur inscription.
Quel mot de passe par défaut ont-ils reçus ?
Eh bien, cela est douloureux à dire, mais les applications utilisaient le mot de passe par défaut «123456».
Probablement le pire mot de passe du monde. Rien que cette semaine, le Centre National de Cyber Sécurité (National Cyber ​​Security Centre – NCSC) du Royaume-Uni a déclaré dans un avis concernant la nécessité de mots de passe forts et uniques que «123456» figurait en tête de liste des mots de passe les plus couramment utilisés, après avoir été découvert plus de 20 millions de fois parmi des données volées.
L & M a déclaré qu’il avait pu utiliser ces informations pour envoyer des millions de noms d’utilisateur possibles via l’API des applications, afin de voir s’ils pourraient se connecter avec le mot de passe faible par défaut.
Grâce à cette méthode, le pirate a pu extraire des informations des comptes clients ProTrack et iTrack, notamment des informations détaillées sur les dispositifs de suivi GPS qu’ils utilisaient, leurs numéros d’identification IMEI uniques, ainsi que les noms, numéros de téléphone, adresses électroniques et physiques.
Mais les risques ne se sont pas limités à la violation de données et à la surveillance de l’emplacement des véhicules. Le pirate a également affirmé qu’il aurait pu éteindre le moteur de certains véhicules à basse vitesse (moins de 20 km à l’heure).
De cette manière, un hacker malveillant pourrait clairement causer un problème important, comme le disait L & M au journal Motherboard :
 

Je peux tout à fait créer un gros problème de circulation dans le monde entier. J’ai le contrôle total de centaines de milliers de véhicules et, d’une simple touche, je peux couper les moteurs de ces véhicules.

 
Les applications, toutes deux apparemment développées en Chine, semblent avoir le même code sous-jacent, ce qui explique pourquoi elles souffrent de la même terrible vulnérabilité d’utilisation d’un mot de passe évident par défaut.
Lorsque Motherboard a pris contact avec elle, la société ProTrack a nié avoir subi une violation de données, mais a reconnu qu’elle incitait désormais les utilisateurs à modifier leur mot de passe.
Comme souvent, il est bien dommage que ces applications n’aient pas été conçues de manière sécurisée, sans avoir besoin qu’un hacker bienveillant n’ait à sonner l’alarme quant à cette terrible faille. Alors que de plus en plus d’entreprises cherchent à créer des appareils et objets connectés à Internet et des systèmes dans le cloud permettant aux utilisateurs de gérer leur technologie, il est essentiel de prendre des mesures pour garantir que la sécurité et la confidentialité soient la priorité.
Les entreprises seraient bien avisées d’appliquer certains protocoles de sécurité avant de lancer rapidement des applications vulnérables qui pourraient mettre leurs clients en danger.