du 13 mai 2019
Date

Choisir une autre édition

Une faille béante dans des milliers de traceurs GPS permet d'obtenir la position et d'écouter les conversations

Les utilisations des produits du genre sont très nombreuses : alarmes connectées pour personnes âgées, suivi des déplacements pour les enfants et les véhicules, etc.

Problème, via l'envoi d'un simple SMS, un traceur GPS vendu en marque blanche par un fabricant chinois laisse fuiter des informations très sensibles, comme l'explique TechCrunch qui s'appuie sur une publication de Fidus. Nos confrères expliquent qu'il est utilisé par de nombreux fabricants : Pebbell, OwnFone Footprint et SureSafeGo pour ne citer qu'eux.

Les petits boîtiers utilisent la 2G pour se connecter aux réseaux mobiles et, même s'ils ne permettent pas d'accéder à Internet, l'envoi d'un SMS permet en retour d'obtenir la localisation avec des données sur l'altitude et la vitesse, le numéro IMEI et bien plus encore.

Il est aussi possible de désactiver les alarmes de mouvement, de chute ou de batterie faible, éteindre l'appareil et même… d'écouter à distance en appelant le numéro de téléphone. TechCrunch a pu tester ces vulnérabilités et confirme qu'elles sont réelles.

Un code PIN peut être ajouté pour protéger l'accès, mais il est désactivé par défaut. Pire, même s'il est présent, les commandes reboot et reset ne nécessitent pas le code PIN pour être utilisées. Cette dernière remet l'appareil dans sa configuration par défaut… sans code PIN.

Pour les chercheurs, réparer cette faille serait « trivial », par exemple en imprimant un code unique sur chaque appareil, nécessaire pour accéder à celui-ci à distance. Ils estiment par contre que rien ne peut être fait pour ceux déjà en circulation, notamment à cause de la commande reset accessible sans authentification.

Contactés en amont, certains constructeurs ont commencé à rappeler leurs produits, tandis que d'autres n'ont pas répondu.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

C'est du moins ce que laissent penser des morceaux de code dans l'application Android d'Uber, comme l'explique TechCrunch en reprenant une découverte de Jane Manchun Wong.

Interrogé, un porte-parole d'Uber indique simplement que la société « réfléchit toujours à de nouvelles manières d'améliorer l'expérience Eats ». « Il a refusé de donner d'autres détails, ce qui pourrait laisser supposer un lancement imminent », ajoutent nos confrères.

Il faut maintenant attendre le lancement de l'offre pour voir à quoi donnent droit exactement les 9,99 dollars par mois, et dans quelles conditions. Cette offre pourrait être l'occasion pour Uber d'essayer d'écraser la concurrence en gardant captifs les clients, quitte à encore perdre de l'argent pour l'instant.

Copié dans le presse-papier !

Après l'annonce de son studio, le PDG de Sony Pictures Entertainment, Tony Vinciquerra, annonce avoir conclu un contrat pour adapter Twisted Metal en série, sans donner plus de détails. De nombreux titres de cette saga de combats motorisés sont sortis entre 1995 et 2012.

Il en profite pour revenir sur le film Uncharted qui serait en « développement avancé ». Pour rappel, ce serpent de mer revient régulièrement à la surface, lors de l'annonce d'un nouveau réalisateur après le départ du précédent.

Fin 2018, Allociné proposait une rétrospective des annonces et rebondissements en tout genre après le départ de Shawn Levy, depuis remplacé par Dan Trachtenberg (10 Cloverfield Lane).

Copié dans le presse-papier !

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

Copié dans le presse-papier !

En septembre 2017, Numworks lançait sa « calculatrice réinventée » (lire notre analyse). Au fil des mois et des mises à jour du firmware, elle s'est enrichie de nouvelles fonctionnalités et de corrections de bugs, toujours avec une approche open source et open hardware.

Aujourd'hui, le constructeur propose gratuitement une application mobile : « Ne nécessitant pas de connexion à Internet, l’application réunit l’intégralité des fonctionnalités de la calculatrice, sans aucune limitation ».

Le fabricant en profite pour tacler ses concurrents, des « mastodontes américains ou japonais [qui] restent sur un ancien "business model" ultra conservateur ».

Copié dans le presse-papier !

« Les usages de plateformes dématérialisées de streaming audio et vidéo et de jeux vidéo en ligne ont pour conséquence une hausse exponentielle de la consommation d'énergie. Avec l'arrivée de nouvelles technologies telles que la 4K, la 8K et la 5G ainsi que l'usage des écrans HD, cette tendance ne fera que s'accélérer » s’inquiète le député Fabrice Brun, au travers d’une question écrite transmise hier au secrétaire d’État au Numérique, Cédric O.

L’élu LR juge qu’il est aujourd’hui « nécessaire » de « faire évoluer les pratiques des serveurs de stockage ». Il plaide en ce sens pour « une politique raisonnée des besoins en bande passante réduisant la facture environnementale des éditeurs de logiciels utilisés par les plateformes précitées ».

Son idée ? Obliger les éditeurs de logiciels à « consacrer un budget déterminé de recherche et développement afin de pratiquer une écriture plus vertueuse en terme environnemental du code informatique ». Il demande ainsi à Cédric O de se positionner sur cette piste, et suggère même au gouvernement de « mobiliser ses partenaires afin d'intégrer ces questions au programme de la prochaine COP25 qui se tiendra au Chili en novembre 2019 ».

L’exécutif dispose théoriquement de deux mois pour répondre aux questions écrites.