Traceurs gps : quand Médor fuite

Actualités - Analyse - Posté on 14 Oct 2019 at 11:59 par Marc Olanie

En un mot comme en 100, les traceurs GPS achetés sur Banggood, eBay, Amazon ou Ali Express sont tous à classer dans la catégorie « Passoire ». L’on savait déjà que les barbouzes de la DGSE étaient trahis par l’application Cloud Strava ou leurs cardiofréquencemètres Polar.
Mi septembre, c’était au tour d’Avast de nous effrayer : l’œil de Pékin peut surveiller le moindre mouvement des enfants tracés (et donc prétendument protégés » par les balises GPS I365Tech). Le blog est alarmiste en diable, à peine au-dessus du niveau des tabloïds Britanniques, mais la publication de l’équipe de recherche, rédigée par Martin Hron, donne un éclairage un peu plus technique et dépassionné. Un rapport que l’on pourrait résumer par la formule lapidaire « chiffrement ? quel chiffrement ? ». Toutes les données, y compris les échanges avec les serveurs Cloud, sont transmises en clair, les mots de passe sont inexistants (123456), les identifiants dérivés du numéro IMEI, et les authentifications totalement virtuelles, permettant à n’importe qui de surveiller la personne de son choix pour peu que l’on possède son numéro de cellulaire.

En juin dernier, une étude encore plus approfondie, conduite par MM Chaouki Kasmi (ex Anssi) et Pierre Barre, tous deux actuellement chez Xen1thLabs, Dark Matter, parvenait aux mêmes conclusions, avec encore un peu plus de détails sur les inconséquences des prestataire de services de géolocalisation. Mots de passe fantaisistes, authentification absente, transmission des données en clair… Pis encore, afin de réduire les temps de latence des applications Cloud, certains vendeurs de trackers n’hésitent pas à utiliser des machines situées dans les pays du Moyen Orient, toujours sans le moindre chiffrement bien entendu. Ces travaux ont été rendus public en juin dernier, à l’occasion du cycle de conférences Hack in Paris. Les transparents ainsi que la vidéo de l’intervention montrent les limites des tentatives de protection mises en œuvre en Europe. GPS un, GDPR zéro.

Laisser une réponse