Imaginez un instant qu'il soit possible d’obtenir la position géographique d’une voiture en connaissant sa seule plaque d’immatriculation. Ce cauchemar était une réalité jusqu’à récemment en raison du fonctionnement de certains horodateurs, comme l’explique Laurent Schmidt sur sa chaine YouTube.
Certains horodateurs permettent de saisir la plaque d’immatriculation d'une voiture afin de payer son stationnement. Ils sont connectés, vous pouvez ainsi voir le temps restant et modifier la durée directement depuis une application mobile ou recevoir une alerte quelques minutes avant la fin du stationnement par exemple.
Problème, il était possible d'entrer une plaque d’immatriculation – de votre voiture ou non – dans l’application d’une entreprise proposant de tels horodateurs un peu partout en France… et ainsi recevoir des notifications, avec l’emplacement du parking où se trouve le véhicule ainsi que les heures de début et de fin de stationnement.
Si c’est le comportement attendu lorsqu'il s'agit de notre voiture, ça ne l’est pas du tout lorsqu'un inconnu peut ainsi vous surveiller. Contacté, Laurent Schmidt nous donne des détails supplémentaires sur cette faille qu'il a découvert.
Les paiements depuis l’application n’étaient pas concernés
Cette brèche se produisait uniquement lorsque l’utilisateur de la voiture payait directement depuis l’horodateur du parking. S’il payait depuis l’application mobile, seul le smartphone du titulaire de la voiture recevait les notifications. « Nous avions fait le test avant le correctif », nous affirme celui qui a découvert le pot aux roses.
Il ajoute : « Je trouve que c’est pire, car la victime n’a même pas besoin de télécharger l’application. Beaucoup m’ont dit avant que je leur explique : "je ne risque rien je n’utilise jamais les applications connectées j’ai même pas de smartphone" ». Or, c’est justement dans ce cas que la faille était exploitable.
Ces notifications permettaient à une tierce personne de suivre à distance les lieux de stationnement. Laurent Schmidt donne deux exemples des conséquences : un voleur pouvait connaitre la position exacte de la voiture et la durée de stationnement prévue, ou bien un prédateur pouvait suivre sa proie et connaitre ses routines.
Avec un retard à l’allumage, la brèche est colmatée
Depuis la mise en ligne de la vidéo, la faille a été colmatée par la société fournissant ces horodateurs : « on ne reçoit plus aucune notification provenant des payements effectués sur horodateurs. Uniquement ceux effectués sur l’application », nous confirme Laurent Schmidt. Mais pour en arriver là, l’entreprise a trainé des pieds.
En effet, l’envoi de plusieurs alertes a été nécessaire :
« J’avais effectué un signalement par mail à l’entreprise trois jours avant la vidéo. Le jour même de l’envoi, j’avais reçu un accusé de lecture, donc je savais qu’ils avaient pris en compte ma demande, mais ils ne semblaient pas en donner suite. Je n’ai finalement pas reçu de réponse à ce signalement à ce jour […]
Le matin du jour où est sortie la vidéo, j’ai envoyé de nouveau un message, mais via le Facebook de l’entreprise cette fois. J’y ai joint le lien de la vidéo en leur expliquant que j’allais la sortir dans quelques heures. Je n’ai reçu une réponse à ce message que deux jours après la sortie de la vidéo pour m’expliquer que la faille avait été corrigée dans la nuit ».
Une copie du message a été mise en ligne sur Facebook. La société y explique qu’il s’agissait « d’une fonction de confort » afin de permettre à un client « d’être informé lorsqu’il avait pris auparavant un ticket de stationnement sur un [des] horodateurs, afin de lui permettre de prolonger à distance avec son téléphone mobile ».
Elle ajoute que, « pour pallier un usage détourné voire malveillant, cette fonctionnalité a été désactivée par [ses] services le 2 septembre 2021 à 23h00 ». De notre côté nous avons contacté l’entreprise concernée pour savoir combien de personnes ont pu être touchées par cette faille et si des signalements ont été faits aux autorités compétentes, notamment la CNIL. Pour le moment, nous attendons toujours ces réponses.
