Un traceur GPS automobile populaire de fabrication chinoise utilisé dans 169 pays présente de « graves vulnérabilités ». Cette faille constitue un danger potentiel pour la sécurité routière, la sécurité nationale et les chaînes d’approvisionnement.
BitSight (société de notation de cybersécurité) a signalé dans un communiqué de presse avoir découvert six failles « graves » dans le traceur GPS MV720, un dispositif câblé fabriqué par la société chinoise MiCODUS.
Si elles sont exploitées dans le cadre d’une attaque, ces failles pourraient permettre à des « acteurs menaçants » de prendre le contrôle à distance des véhicules équipés du dispositif, de couper le carburant lorsque le véhicule est en mouvement ou de surveiller ses mouvements, selon l’article de BitSight publié le 19 juillet. Les chercheurs de BitSight ont noté que 1,5 million de ces dispositifs de traçage GPS sont actuellement utilisés par les entreprises et les particuliers.
Le 19 juillet, l’US Cybersecurity and Infrastructure Security Agency (CISA) a émis des avertissements sur les failles de ces dispositifs, en déclarant qu’à sa connaissance « aucun organisme public ne cible spécifiquement ses vulnérabilités ». Les États‑Unis n’ont donc aucun moyen de s’en protéger.
L’expert américain en cybersécurité Richard Clarke a exprimé son inquiétude quant au régime chinois.
« Si la Chine peut contrôler à distance des véhicules aux États‑Unis, nous avons un problème », avertit M. Clarke dans le communiqué de presse.
Selon BitSight, les tentatives de dialogue avec le fabricant MiCODUS, basé à Shenzhen, pour discuter de ces vulnérabilités, ont débuté en septembre de l’année dernière et la CISA s’y est jointe fin avril. Elles ont toutes échoué.
Epoch Times a contacté MiCODUS pour obtenir des commentaires sur le rapport BitSight. Un responsable des ventes a répondu par courriel, indiquant que le MV720 est « un traceur GPS de véhicule commun » et que la société « n’a jamais utilisé ce produit pour effectuer des actions illégales ».
« Pas difficile à exploiter »
Les traceurs GPS sont utilisés dans le monde entier et permettent aux entreprises de géolocaliser leurs véhicules. On peut suivre tous types d’engins, des camions aux bus scolaires en passant par les véhicules militaires, et les protéger contre le vol. Outre la localisation, les traceurs surveillent généralement d’autres paramètres tels que le comportement du conducteur ou la consommation du carburant. Avec des options d’accès à distance, beaucoup de traceurs peuvent couper le carburant où l’alarme du véhicule, verrouiller ou déverrouiller les portes, etc.
Les vulnérabilités du dispositif concerné peuvent permettre aux pirates de prendre le contrôle du véhicule. Par exemple, un acteur malveillant pourrait « suivre des individus à leur insu, désactiver à distance les flottes automobiles de livraison ou de secours des entreprises, et arrêter brusquement des véhicules civils sur des autoroutes dangereuses », selon le rapport BitSight.
« Malheureusement, ces vulnérabilités ne sont pas difficiles à exploiter », explique Pedro Umbelino, chercheur principal de BitSight sur la question. Selon lui, plusieurs scénarios malveillants sont possibles. Par exemple, le véhicule d’une victime pourrait être paralysé, ou un pirate pourrait couper un moteur et demander une rançon en cryptomonnaie aux victimes pour qu’elles n’aient pas à appeler un mécanicien.
Les chercheurs ont dressé la liste des principaux utilisateurs de ces traceurs GPS. On y retrouve une société énergétique qui figure parmi les 50 compagnies les plus riches de la planète, l’armée d’un pays en Amérique du Sud, un gouvernement en Europe occidentale et l’armée d’un pays en Europe de l’Est. Le rapport ne fournit pas leurs identités plus précisément.
Les chercheurs de BitSight exhortent les utilisateurs à désactiver immédiatement le traceur GPS MV720 jusqu’à ce qu’un « correctif soit mis à disposition par la société ». Il est disponible sur les principaux sites de vente en ligne et coûte moins de 25 euros l’unité.
M. Clarke considère que le dispositif GPS est un autre exemple de produit intelligent fabriqué en Chine « qui envoie tout à la maison et est susceptible d’être utilisé de manière malveillante par le gouvernement chinois ».
M. Clarke doute que le traceur ait été conçu dans ce but, mais le danger est réel dans la mesure où les entreprises chinoises sont tenues par la loi de suivre les ordres du Parti communiste chinois (PCC). C’est pour cette raison précisément que Washington a cherché à minimiser les composants chinois dans les réseaux de télécommunications américains. Et c’est aussi pourquoi certains parlementaires américains font pression pour interdire leur gouvernement d’acheter des drones chinois.
« On se demande simplement combien de fois on va retrouver ces choses qui intègrent les infrastructures (où il y a un risque d’abus chinois) et où les utilisateurs ne sont au courant de rien ? » a déclaré M. Clarke à l’Associated Press.
Luo Ya et l’Associated Press ont contribué à cet article.
***
Chers lecteurs,
Abonnez‑vous à nos newsletters pour recevoir notre sélection d’articles sur l’actualité.
https://www.epochtimes.fr/newsletter
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.