Des millions de véhicules dans le monde pourraient être susceptibles d’être suivis à distance et sabotés en raison de failles de sécurité dans un module GPS populaire vendu sur Amazon et d’autres marchés en ligne. Mardi, la société de cybersécurité BitSight a découvert six vulnérabilités «graves» dans le MV720, un tracker GPS câblé produit par le fabricant chinois d’électronique Micodus. Selon BitSight, les vulnérabilités ne sont «pas difficiles à exploiter» et peuvent ne pas être limitées à un seul appareil.
Micodus n’a pas répondu aux tentatives de communication de BitSight et de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, ce qui signifie que la société n’a fait aucun effort pour corriger les vulnérabilités et qu’il n’existe aucune solution de contournement connue. Deux des six défauts sont de nature « critique ». Le plus pressant implique un mot de passe codé en dur qu’un mauvais acteur pourrait utiliser pour envoyer des commandes SMS au MV720. Quelqu’un pourrait utiliser cette capacité pour suivre l’emplacement en temps réel d’un véhicule et couper à distance son alimentation en carburant.
Le nombre de trackers MV720 dans la nature est difficile à dire. Selon BitSight, environ 1,5 million d’appareils Micodus sont utilisés dans 169 pays. Notamment, l’entreprise a découvert que l’Ukraine avait le plus de trackers Micodus de tous les pays européens. Il a également trouvé des preuves d’utilisation parmi au moins cinq entreprises Fortune 50, un gouvernement d’État américain et une armée en Amérique du Sud. Un porte-parole de BitSight il y a probablement des « milliers » d’appareils Micodus utilisés aux États-Unis. La CISA indique que les propriétaires de véhicules concernés doivent retirer le traceur de leur voiture dès que possible.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.