{"id":267784,"date":"2022-07-20T08:52:30","date_gmt":"2022-07-20T10:52:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-bogues-de-suivi-gps-non-corriges-pourraient-permettre-aux-attaquants-de-perturber-les-vehicules-a-distance\/"},"modified":"2022-07-20T08:52:31","modified_gmt":"2022-07-20T10:52:31","slug":"des-bogues-de-suivi-gps-non-corriges-pourraient-permettre-aux-attaquants-de-perturber-les-vehicules-a-distance","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-bogues-de-suivi-gps-non-corriges-pourraient-permettre-aux-attaquants-de-perturber-les-vehicules-a-distance\/","title":{"rendered":"Des bogues de suivi GPS non corrig\u00e9s pourraient permettre aux attaquants de perturber les v\u00e9hicules \u00e0 distance"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis met en garde contre une poign\u00e9e de vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 non corrig\u00e9es dans <a rel=\"nofollow noopener\" href=\"https:\/\/www.micodus.com\/product\/1574734487\" target=\"_blank\">MiCODUS MV720<\/a> Les trackers du syst\u00e8me de positionnement global (GPS) install\u00e9s dans plus de 1,5 million de v\u00e9hicules pourraient entra\u00eener une interruption \u00e0 distance des op\u00e9rations critiques.<\/p>\n<p>&#8220;L&#8217;exploitation r\u00e9ussie de ces vuln\u00e9rabilit\u00e9s peut permettre \u00e0 un acteur distant d&#8217;exploiter l&#8217;acc\u00e8s et de prendre le contr\u00f4le du traqueur du syst\u00e8me de positionnement global&#8221;, CISA <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/07\/19\/cisa-released-security-advisory-micodus-mv720-global-positioning\" target=\"_blank\">a dit<\/a>.  &#8220;Ces vuln\u00e9rabilit\u00e9s pourraient avoir un impact sur l&#8217;acc\u00e8s \u00e0 l&#8217;approvisionnement en carburant d&#8217;un v\u00e9hicule, au contr\u00f4le du v\u00e9hicule ou permettre la surveillance de l&#8217;emplacement des v\u00e9hicules dans lesquels l&#8217;appareil est install\u00e9.&#8221;<\/p>\n<p>Disponibles \u00e0 la vente pour 20 $ et fabriqu\u00e9s par la soci\u00e9t\u00e9 chinoise MiCODUS, les dispositifs de suivi de la soci\u00e9t\u00e9 sont utilis\u00e9s par de grandes organisations dans 169 pays couvrant les secteurs de l&#8217;a\u00e9rospatiale, de l&#8217;\u00e9nergie, de l&#8217;ing\u00e9nierie, du gouvernement, de la fabrication, des centrales nucl\u00e9aires et du transport maritime.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les principaux pays comptant le plus d&#8217;utilisateurs sont le Chili, l&#8217;Australie, le Mexique, l&#8217;Ukraine, la Russie, le Maroc, le Venezuela, le Br\u00e9sil, la Pologne, l&#8217;Italie, l&#8217;Indon\u00e9sie, l&#8217;Ouzb\u00e9kistan et l&#8217;Afrique du Sud.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Traqueur GPS non corrig\u00e9\" border=\"0\" data-original-height=\"468\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658314349_246_Des-bogues-de-suivi-GPS-non-corriges-pourraient-permettre-aux.jpg\" title=\"Traqueur GPS non corrig\u00e9\" \/><\/div>\n<p>Les probl\u00e8mes, qui ont \u00e9t\u00e9 identifi\u00e9s au cours d&#8217;un audit de s\u00e9curit\u00e9 par BitSight, pourraient \u00e9galement \u00eatre potentiellement abus\u00e9s pour suivre des individus \u00e0 leur insu, d\u00e9sactiver des v\u00e9hicules et m\u00eame poser des implications pour la s\u00e9curit\u00e9 nationale \u00e0 la lumi\u00e8re du fait que les militaires et les forces de l&#8217;ordre utilisent le trackers pour une surveillance en temps r\u00e9el.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658314350_207_Des-bogues-de-suivi-GPS-non-corriges-pourraient-permettre-aux.jpg\" \/><\/div>\n<p>&#8220;Un adversaire d&#8217;un \u00c9tat-nation pourrait potentiellement exploiter les vuln\u00e9rabilit\u00e9s du tracker pour recueillir des renseignements sur les mouvements li\u00e9s \u00e0 l&#8217;arm\u00e9e, y compris les routes d&#8217;approvisionnement, les mouvements de troupes r\u00e9guliers et les patrouilles r\u00e9currentes&#8221;, ont d\u00e9clar\u00e9 des chercheurs de BitSight. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitsight.com\/resources\/critical-vulnerabilities-discovered-popular-automotive-gps-tracking-device-micodus-mv720\" target=\"_blank\">soulign\u00e9<\/a>.<\/p>\n<p>La liste des failles qui ont \u00e9t\u00e9 divulgu\u00e9es \u00e0 MiCODUS en septembre 2021 est ci-dessous &#8211;<\/p>\n<ul>\n<li><strong>CVE-2022-2107<\/strong> (Score CVSS : 9,8) &#8211; Utilisation d&#8217;un mot de passe principal cod\u00e9 en dur qui pourrait permettre \u00e0 un attaquant non authentifi\u00e9 de mener des attaques Adversary-in-the-middle (AitM) et de prendre le contr\u00f4le du tracker.<\/li>\n<li><strong>CVE-2022-2141<\/strong> (Score CVSS : 9,8) &#8211; Sch\u00e9ma d&#8217;authentification bris\u00e9 dans le serveur API qui permet \u00e0 un attaquant de contr\u00f4ler tout le trafic entre le traceur GPS et le serveur d&#8217;origine et d&#8217;en prendre le contr\u00f4le.<\/li>\n<li><strong>Aucun CVE attribu\u00e9<\/strong> (Score CVSS\u00a0: 8,1) &#8211; Utilisation d&#8217;un mot de passe par d\u00e9faut pr\u00e9configur\u00e9 &#8220;123456&#8221; qui permet aux attaquants d&#8217;acc\u00e9der \u00e0 n&#8217;importe quel traceur GPS au hasard.<\/li>\n<li><strong>CVE-2022-2199<\/strong> (Score CVSS\u00a0: 7,5) &#8211; Une vuln\u00e9rabilit\u00e9 de script intersite (XSS) refl\u00e9t\u00e9e dans le serveur Web qui pourrait entra\u00eener l&#8217;ex\u00e9cution de code JavaScript arbitraire dans le navigateur Web.<\/li>\n<li><strong>CVE-2022-34150<\/strong> (Score CVSS\u00a0: 7,1) &#8211; Une vuln\u00e9rabilit\u00e9 de contr\u00f4le d&#8217;acc\u00e8s provenant de Insecure Direct Object Reference (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Insecure_direct_object_reference\" target=\"_blank\">IDOR<\/a>) qui pourrait entra\u00eener l&#8217;exposition d&#8217;informations sensibles.<\/li>\n<li><strong>CVE-2022-33944<\/strong> (Score CVSS : 6,5) &#8211; Un cas de vuln\u00e9rabilit\u00e9 IDOR authentifi\u00e9e qui pourrait \u00eatre exploit\u00e9e pour g\u00e9n\u00e9rer des rapports Excel sur l&#8217;activit\u00e9 de l&#8217;appareil.<\/li>\n<\/ul>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>En un mot, les failles pourraient \u00eatre militaris\u00e9es pour obtenir l&#8217;acc\u00e8s \u00e0 l&#8217;emplacement, aux itin\u00e9raires, aux commandes de coupure de carburant ainsi que la possibilit\u00e9 de d\u00e9sarmer diverses fonctionnalit\u00e9s telles que les alarmes.<\/p>\n<p>Mais sans solution de contournement en vue, il est conseill\u00e9 aux utilisateurs du traceur GPS en question de prendre des mesures pour minimiser l&#8217;exposition ou de cesser d&#8217;utiliser les appareils et de les d\u00e9sactiver compl\u00e8tement jusqu&#8217;\u00e0 ce qu&#8217;un correctif soit mis \u00e0 disposition par l&#8217;entreprise.<\/p>\n<p>&#8220;Avoir un tableau de bord centralis\u00e9 pour surveiller les trackers GPS avec la possibilit\u00e9 d&#8217;activer ou de d\u00e9sactiver un v\u00e9hicule, de surveiller la vitesse, les itin\u00e9raires et d&#8217;exploiter d&#8217;autres fonctionnalit\u00e9s est utile pour de nombreuses personnes et organisations&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Cependant, une telle fonctionnalit\u00e9 peut introduire de s\u00e9rieux risques de s\u00e9curit\u00e9.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/unpatched-gps-tracker-bugs-could-let.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis met en garde contre une poign\u00e9e de vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 non corrig\u00e9es dans MiCODUS MV720 Les trackers du syst\u00e8me de positionnement global (GPS) install\u00e9s dans plus de 1,5 million de v\u00e9hicules pourraient entra\u00eener une interruption \u00e0 distance des op\u00e9rations critiques. &#8220;L&#8217;exploitation r\u00e9ussie de ces vuln\u00e9rabilit\u00e9s peut [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":267785,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,14862,4168,8543,4158,4165,4161,133,2526,41906,4157,4159,4171,4170,65,4167,4160,4163,4162,5848,42743,1612,4172,4169,3820,351,4166,4164],"class_list":["post-267784","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aux","tag-bogues","tag-comment-pirater","tag-corriges","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-distance","tag-gps","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permettre","tag-perturber","tag-pourraient","tag-securite-informatique","tag-securite-internet","tag-suivi","tag-vehicules","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/267784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=267784"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/267784\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/267785"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=267784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=267784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=267784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}