On les trouve partout à des prix défiants toute concurrence. Les trackers GPS se sont largement démocratisés ces dernières années, pour permettre à tout un chacun de suivre son animal de compagnie ou repérer sa voiture. Pourtant, un sérieux problème de sécurité se poserait sur ces appareils vendus à prix cassés sur le web. Il ne s’agirait pas à proprement parler d’une faille, mais plutôt d’une sécurité totalement négligée par le constructeur. C’est en tout cas ce que révèle Martin Hron, chercheur en sécurité chez Avast qui a publié un rapport relayé par ZDnet.fr pointant du doigt un problème qui pourrait impacter plusieurs centaines de milliers de GPS made in China en circulation.

Les trackers GPS concernés ont tous été fabriqués par l’entreprise chinoise i365-Tech. Ceux-ci utiliseraient tous une seule et même infrastructure très peu sécurisée. On aurait donc un serveur cloud, une interface web pour se connecter et une application mobile connectée au serveur. Sauf que les identifiants permettant aux utilisateurs de se connecter seraient basés sur le code IMEI de l’appareil GPS, et sécurisés par le même mot de passe « 123456 ». Ce mot de passe d’usine inchangé est une véritable aubaine pour les pirates informatiques, qui peuvent aisément espionner l’utilisateur de ce type d’appareil, et même obtenir son numéro de téléphone. Il suffirait simplement de faire varier le numéro de série en utilisant toujours le même mot de passe pour accéder aux données de tous les trackers sur le marché, avec des risques allant du simple espionnage à la falsification de la position GPS, jusqu’au verrouillage de l’appareil avant même qu’il ne soit vendu à un particulier, et bien d’autres possibilités obscures. 

Si le tracker qui a été pointé du doigt en premier est le bien connu T8 Mini, notamment plébiscité pour suivre son animal de compagnie, Avast a dévoilé que cette négligence en matière de sécurité pourrait bien toucher près de 30 autres modèles de trackers GPS fabriqués par le chinois i365-Tech. Au total, Avast a indiqué que près de 600 000 appareils pourraient être concernés.