Imaginez un instant qu'il soit possible d’obtenir la position géographique d’une voiture en connaissant sa seule plaque d’immatriculation. Ce cauchemar était une réalité jusqu’à récemment en raison du fonctionnement de certains horodateurs, comme l’explique Laurent Schmidt sur sa chaine YouTube.
Certains horodateurs permettent de saisir la plaque d’immatriculation d'une voiture afin de payer son stationnement. Ils sont connectés, vous pouvez ainsi voir le temps restant et modifier la durée directement depuis une application mobile ou recevoir une alerte quelques minutes avant la fin du stationnement par exemple.
Problème, il était possible d'entrer une plaque d’immatriculation – de votre voiture ou non – dans l’application d’une entreprise proposant de tels horodateurs un peu partout en France… et ainsi recevoir des notifications, avec l’emplacement du parking où se trouve le véhicule ainsi que les heures de début et de fin de stationnement.
Si c’est le comportement attendu lorsqu'il s'agit de notre voiture, ça ne l’est pas du tout lorsqu'un inconnu peut ainsi vous surveiller. Contacté, Laurent Schmidt nous donne des détails supplémentaires sur cette faille qu'il a découvert.
Les paiements depuis l’application n’étaient pas concernés
Cette brèche se produisait uniquement lorsque l’utilisateur de la voiture payait directement depuis l’horodateur du parking. S’il payait depuis l’application mobile, seul le smartphone du titulaire de la voiture recevait les notifications. « Nous avions fait le test avant le correctif », nous affirme celui qui a découvert le pot aux roses.
Il ajoute : « Je trouve que c’est pire, car la victime n’a même pas besoin de télécharger l’application. Beaucoup m’ont dit avant que je leur explique : "je ne risque rien je n’utilise jamais les applications connectées j’ai même pas de smartphone" ». Or, c’est justement dans ce cas que la faille était exploitable.
Ces notifications permettaient à une tierce personne de suivre à distance les lieux de stationnement. Laurent Schmidt donne deux exemples des conséquences : un voleur pouvait connaitre la position exacte de la voiture et la durée de stationnement prévue, ou bien un prédateur pouvait suivre sa proie et connaitre ses routines.
Avec un retard à l’allumage, la brèche est colmatée
Depuis la mise en ligne de la vidéo, la faille a été colmatée par la société fournissant ces horodateurs : « on ne reçoit plus aucune notification provenant des payements effectués sur horodateurs. Uniquement ceux effectués sur l’application », nous confirme Laurent Schmidt. Mais pour en arriver là, l’entreprise a trainé des pieds.
En effet, l’envoi de plusieurs alertes a été nécessaire :
« J’avais effectué un signalement par mail à l’entreprise trois jours avant la vidéo. Le jour même de l’envoi, j’avais reçu un accusé de lecture, donc je savais qu’ils avaient pris en compte ma demande, mais ils ne semblaient pas en donner suite. Je n’ai finalement pas reçu de réponse à ce signalement à ce jour […]
Le matin du jour où est sortie la vidéo, j’ai envoyé de nouveau un message, mais via le Facebook de l’entreprise cette fois. J’y ai joint le lien de la vidéo en leur expliquant que j’allais la sortir dans quelques heures. Je n’ai reçu une réponse à ce message que deux jours après la sortie de la vidéo pour m’expliquer que la faille avait été corrigée dans la nuit ».
Une copie du message a été mise en ligne sur Facebook. La société y explique qu’il s’agissait « d’une fonction de confort » afin de permettre à un client « d’être informé lorsqu’il avait pris auparavant un ticket de stationnement sur un [des] horodateurs, afin de lui permettre de prolonger à distance avec son téléphone mobile ».
Elle ajoute que, « pour pallier un usage détourné voire malveillant, cette fonctionnalité a été désactivée par [ses] services le 2 septembre 2021 à 23h00 ». De notre côté nous avons contacté l’entreprise concernée pour savoir combien de personnes ont pu être touchées par cette faille et si des signalements ont été faits aux autorités compétentes, notamment la CNIL. Pour le moment, nous attendons toujours ces réponses.
Commentaires (44)
#1
à chaque fois c’est pareil* :
au DEPART c’est pour simplifier la vie des gens, PUIS ‘desp’titsmalins’ le détourne !!!
on vit dans un Monde “extraordinaire”
#2
A priori, rien ne dit que cette faille a été exploitée…
#3
Franchement, c’est bien de chercher et trouver des failles, mais il y a une manière responsable de le faire : le signalement d’une brèche c’est minimum 30 jours entre le moment du signalement à l’entreprise et la mise en ligne d’un PoC de démontration.
Donc quand le gars dit :
On peut difficilement écrire :
Surtout quand la vidéo date du mercredi 1er septembre (donc le signalement a été fait… un dimanche)
#3.1
Mouais, enfin 3 jours pour au moins dire “Merci, on va le corriger de suite” c’est quand même long pour une faille.
#3.2
Tout le monde n’est pas forcément au courant des “règles non écrites” et autres “bonnes pratiques” du secteur. Ce Youtubeur n’étant pas spécialisé dans la cybersécurité mais dans l’automobile.
En plus dans sa vidéo il ne nomme pas l’entreprise, on peut comprendre sa façon de procéder et faire preuve de clémence, je trouve qu’il a fait preuve de respect et de bienveillance.
Au final sa méthode a plutôt bien fonctionné, la faille a été corrigée en 4 jours. C’est franchement pas si mal au vu de la réactivité généralement constatée…
#4
Ce qui me surprend le plus c’est qu’il ai déployé cette fonction de confort sans pesé le bénéfice risque, car rien n’empêche a l’horodateur d’afficher un code (QR ou non jamais vu vos horodateur) a entré dans l’app, sans le code ET la plaque pas de suivi.
Plus chiant car le code doit être modifier a chaque nouvel “achat” mais ca aurais rendu l’exploitation impossible
#5
“certains horodateurs permettent de…
OBLIGENT à entrer la plaque serait plus juste !
Avant, on mettait des pièces, on avait deux papiers, un pour la voiture un comme pense-bête/facture.
Maintenant, il faut taper la plaque (vous la connaissez par coeur ? Clavier”membrane hyper pratique quand ça fonctionne) on vous donne un ticket/facture SI VOUS le Réclamez.
Génial le progrès !
#5.1
Avec un écran qui affiche très bien quand le soleil est au zénith :-/
#5.2
je pense que l’obligation de saisir la plaque a d’abord pour but d’éviter la revente de ticket. Je pars, il me reste 1h sur mon ticket, s’il est anonyme je peux le refiler à la personne qui arrive derrière moi. Mankagagné pour la commune.
Aujourd’hui, en bonus, ça facilite les contrôles automatiques.
#5.3
Par chez moi, saisir la plaque permet surtout de vérifier où tu en es de ton quota de 2h gratuites par jour. Ce n’est clairement pas pour faire payer plus.
#6
Oui surtout quand il pleut !
#6.1
quand il ne pleut pas, écran en plein soleil…
#7
y’a du pour et du contre:
Le pour ca réduit la consommation de papier et donc réduit la déforestation a long terme et plus de papier jeter par terre (pollution potentiel).
Le contre suivi, difficulté pour les personne âgée, etc…
Question de priorité / point de vue j’imagine (je ne donne volontairement pas mon avis sur ce cas pour resté neutre).
#8
Dans le monde réel, si tu laisse ta porte grande ouverte par facilité, faut pas t’étonner de te retrouver rapidement avec des problèmes… et pas uniquement à cause des êtres humains d’ailleurs
#9
L’intérêt (je n’ai pas dit légitime) d’obliger à saisir le n° de plaque d’immatriculation, ce n’est pas pour le contrôle ? Des voitures (de la société qui assure le contrôle) passent dans les rues et flashent toutes les plaques d’immatriculations de voitures garées qu’elles voient, ça remonte au serveur qui peut alors vérifier s’il faut déclencher une amende.
Je ne sais pas si c’est finalement en place, mais des collègues bossaient sur ce système, commandé par de grandes villes.
#9.1
De mémoire la CNIL avait pris position sur système car mal encadré par le législateur et surtout ça prenait toutes les plaques dans la rue même celle qui n’était pas concernée par le stationnement.
#9.2
Ce système est en place à Marseille depuis quelques années déjà. Le quartier où je réside a été équipé de ce type “d’horodateur connecté” il y a deux ans. Avec une fréquence de passage assez élevée, un véhicule (électrique) patrouille continuellement dans les rues pour s’assurer de la “bonne utilisation” des places de parking…
#9.3
La contre partie de cela c’est la diminution des “pervenches” et du coup c’est le festival des plaques cachées / illisibles.
#9.4
Vous avez tout à fait raison, j’ai omis de le mentionner dans mon commentaire : il y a pas mal de plaques avec un autocollant sur un chiffre ou une lettre. J’ai un garage, donc non concerné dans mon quartier, mais en me baladant à pied j’ai remarqué cette singularité
#9.5
Et surtout, festival des verbalisations abusives de véhicules avec une carte GIC…
#9.6
Rhooo mais ils peuvent toujours contester puisqu’ils sont dans leur droit
A prendre au second degré bien sûr.
#9.7
Oui enfin ça va dans les deux sens
Dans ma ville à stationnement payant intégral, c’est vous le nombre d’invalides, parfois plus de la moitié des voitures ont une carte GIC
Faudrait vraiment qu’ils fiabilisent ce truc d’ailleurs
#10
Faut voir par ou c’est passé, perso mon support VPS prend deux jours pour répondre a une requête urgente car des user les contacts pour tous et n’importe quoi donc si c’est passé par du support standard …
C’est pas pour rien que généralement pour une faille de sécurité c’est en 30 a 90 jours sans le révéler publiquement ….
#11
Le fait de renseigner le numéro de sa plaque est déjà une aberration en terme de données personnelles… De même que les scans automatiques en entrant dans le parking (coucou Vinci), surtout quand aucune alternative n’est proposée (je veux bien perdre 5 secondes à baisser la viter pour prendre un ticket).
#11.1
Il faut comparer des services complets. Si on compare ce que tu décris avec un gardien équipé d’un registre papier la proportionnalité reste la fermeture du SI des plaques au parking considéré, sans possibilité par l’exploitant et par un réseau public la copie de données à l’exterieur de l’enceinte.
Autrement dit de la “domotique” strictement hors réseau suffit. Ou sur réseau fermé comme les feux de circulation.
La smart city ouverte c’est la porte béante pour ce type de failles où le client (commune, syndicat) est clairement techno-crédule… et devra payer sa milice cyber pour se protéger des indiens…
#12
#13
En même temps t’es bien content quand tu perd ton ticket… Avant c’était le forfait max.
#14
La raison invoquée par les mairies est de pouvoir offrir 1/2h gratuite (par ex) mais une seule fois par jour. Et, de pouvoir prolonger le stationnement depuis son smartphone, sans devoir se déplacer.
Truc con constaté il y a 15 dans une commune du littoral breton : il faut toujours mettre son ticket sous le pare-brise, ce qui rend le prolongement par smartphone complètement inutile :-( En bref, la mairie qui n’a rien compris pfff
#15
Très juste…
Ce qui m’amuse c’est tout ce buzz généré par de telles histoires alors que les objets connectés ne se sont jamais aussi bien vendus…
Cherchez l’erreur…
#15.1
Je trouve au contraire très bien qu’on fasse du buzz avec ce genre d’histoire, de façon à ce qu’on se rende compte des problèmes engendrés par ce type d’application. Entre objets connectés et ville intelligente, il n’y a pas grande différence, ce sont des objets du quotidien qui communiquent et qui laissent des traces, de plus en plus nombreuses.
Cela illustre aussi le problème de la défense : à la conception d’un système, il faudrait prévoir toutes les attaques possibles et tous les scenarios imaginables pour le défendre correctement. Alors que pour le “méchant”, il suffit d’une erreur ou d’un cas qui n’avait pas été envisagé.
#16
C’est surtout ça le problème : il faut mettre sur le marché le plus vite possible. Tant que ce ne sera pas encadré sérieusement, ce sera la fête du slip (il suffit de se rappeler comment l’automobile a évolué sous la contrainte juridique pour ne plus vendre des cercueils sur roue)
#17
Haha oui, j’ai eu la bonne surprise récemment. Je me voyais condamner au forfait maximum, je dis au type à l’interphone que j’ai pas mon ticket. Il tapote 10 secondes et me dit “c’est bon, vous pouvez payer vos 3,80€”.
#18
Pourcentage des plaques scannées : 100%
Pourcentage des tickets perdus : 0.001% ?
Et puis il suffit d’être vigilant ave ses effets personnels…
Mon propos portait sur le fait qu’on enregistre une donnée personnelles sans l’accord du propriétaire. Le fait qu’un gardien le note sur un papier, ou sur un réseau fermé, ne change rien.
#18.1
Et donc les principes ne sont jamais contradictoires ?
La qualité du traitement change selon le médium, son suivi aussi, et la responsabilité de chacun aussi.
Il suffit de voir la quantité de commités déontologiques nécessaires pour comprendre que l’esprit de la CNIL sans un tissus d’acteurs avertis tourne en roue libre sur la consistance de ses définitions.
Je le redis : on achète pas un âne dans un sac.
Ce qui explique le pourquoi des plaques en premier ressort… afin d’acheter l’âne dans un sac aux bonnes dimensions…
#19
#19.1
Ou bien juste faire faire aux privés comme ce que ont toujours fait les ASVP : un contrôle piéton non aveugle, comprendre, en regardant le parebrise avant de vérifier la plaque.
#20
A marseille je ne passe même plus par l’horodateur. Application TIMO sur le téléphone, je règle mon stationnement initial, et je peux l’étendre à volonté, pas besoin de ticket non plus.
#21
En principe, ça ne s’obtient pas comme ça.
Le soucis, c’est qu’il est pas pris en compte la nature du handicap: une surdité par exemple entraine un niveau de handicap, et il me semble qu’un sourd peut prétendre à une carte GIC. Alors que quelqu’un qui peine à faire 500 mètres a toute légitimité à occuper une place réservée.
Et il y a aussi la fraude, celle des fausses cartes handicapées. C’est un incivisme incroyable, ça, et pourtant à priori pas marginal…
#21.1
Oui je me suis fait la même remarque, ça ne semble pas du tout concerner des gens en invalidité physique uniquement. Je veux pas être dans le jugement hâtif, mais la Audi RS3 ou la Panamera garée dans la rue une carte GIC heu, comment dire
Apparemment la carte doit comporter la mention suivante je regarderai tiens:
“°) La mention « stationnement pour personnes handicapées » est attribuée à toute personne atteinte d’un handicap qui réduit de manière importante et durable sa capacité et son autonomie de déplacement à pied ou qui impose qu’elle soit accompagnée par une tierce personne dans ses déplacements.”
Mais je pense que pour beaucoup c’est de la fraude pure et simple, des fausses ou alors la carte à mamie… Parfois c’est pire car c’est les places GIC qui sont squatée, sans parler du phénomène ventouse
#22
Ah, alors là, gaffe à ne pas associer handicap et possibilité de mettre un fauteuil roulant dans le coffre.
J’ai eu l’occasion une fois de discuter avec un handicapé roulant en Porche 911: la voiture est basse, portières larges, accès aux jambes simples: les coupés bas sont souvent des voitures pratiques.
Autre exemple: je croise régulièrement un handicapé en Mustang (il a juste fait une fois un écart en prenant une Camaro) : il est unijambiste, prothèse à la place de l’autre jambe.
Effectivement, il a les moyens, et il profite d’un avantage spécifique aux handicapés: il est exonéré d’éco-taxe.
Mais entre rouler avec un muscle car au prix d’une compacte ou un SUV compact optionnés (il achète ses voitures en Allemagne, où il est possible de négocier jusqu’à 10% ces grosses cylindrées, alors que en France, c’est zéro négo), et avoir mes 2 jambes fonctionnelles et devoir me contenter de moteurs éco-castrés, hummm… non, je garde mes jambes :)
#22.1
”… devoir me contenter de moteurs éco-castrés,, ET avoir mes 2 jambes fonctionnelles ?
non, je préfère garder mes 2 jambes !
puissent; ceux qui prennent illicitement* les places handicapées, t’entendre
‘ilssonthandicapés.commetoietmoi” !!!
#22.2
Là encore, gaffe à quel coté tu regardes.
Exemple: quand mes beaux parents viennent quelques jours, je fais le chauffeur dans leur voiture.
Quand je suis seul ou sans eux, je me gare normalement, hors de question de squatter le moindre aménagement.
Par contre, quand ils sont là, donc, tu me verras me garer sur une place pour handicapé, et sortir de la voiture parfaitement valide. Avant de me jeter un regard noir, l’handicapée propriétaire du véhicule et de la carte GIC se trouve en réalité coté passager, et a du mal à faire de longues marches et a du mal à monter/descendre de voiture, donc, les places aménagées lui sont utiles voire indispensables la plupart du temps ;)
(et d’ailleurs, ça lui avait fait un sale coup au moral quand elle a reçu sa fameuse carte, car cela concrétisait ce qu’elle savait déjà: qu’elle n’est vraiment plus quelqu’un de valide… quand on s’active toute sa vie, c’est dur)
#22.3
c’était, peut être, le cas ?
je ferais, attention, si la pers. est seule !
#23
Alors stationnons nous sans plaque d’immatriculation… Vive la pince à rivet.
Même de bonne foi, certains anciens mettent leur plaque d’immatriculation en ajoutant le département, et ils se font verbaliser : contestations impossible.
Idem lorsqu’on se trompe d’un caractère, c’est perçu comme de la fraude.
En ce qui concerne les droits pour les personnes handicapées, vu que la carte est attachée à une personne et non un véhicule, le système actuel de vidéo verbalisation est une aberration !