Les millions d'utilisateurs de l'application de trafic communautaire de Google peuvent être pistés à tout moment. A cause d'une faille découverte récemment, les pirates peuvent localiser un conducteur où qu'il soit, même si des correctifs ont déjà été apportés.
Les chercheurs de l'Université de Santa Barbara ont découvert une faille sécuritaire au niveau de l'application de trafic communautaire Waze. Les recherches qu'ils ont menées ont abouti à un résultat sans appel : cette faille permet de localiser n'importe quel utilisateur de Waze où qu'il soit et à n'importe quel moment. Pour cela, ils ont pris une journaliste du site Fusion, les a suivi à la trace durant trois jours dans tous les endroits où elle se trouvait, même dans les transports en commun. A tout moment, ils ont pu connaitre la localisation exacte de la journaliste, grâce à l'application Waze dont celle-ci se servait en permanence. Pour arriver à ce résultat, les chercheurs de l'Université Californienne ont intercepté la communication entre le serveur de Waze et le smartphone. C'est au niveau de cette connexion, censée être sécurisée, que se situe la faille et dès qu'un pirate parvient à se placer entre les serveurs et l'utilisateur, il aura accès à toutes les données.
Utilisateurs Waze suivis à la trace - Générer de faux embouteillages
Une fois que le pirate est entré dans le système, il pourra exploiter toutes les informations qui s'y trouvent. Les chercheurs ont en effet réussi à communiquer avec les serveurs de l'application et générer de faux embouteillages en créant des "voitures fantômes ". Ils ont également réussi à pirater les données des utilisateurs se situant à proximité de ces voitures virtuelles. Ces dernières peuvent tout aussi bien servir à suivre à la trace un utilisateur et à collecter les données personnelles de celui-ci. Ces voitures fantômes vont aller quadriller une zone déterminée - qui pourra être un quartier, une ville ou même tout un pays, et épier tous les utilisateurs de Waze à l'intérieur de cette zone. Bien évidemment, tout cela se passe à l'insu des conducteurs. Au lieu de les aider à mieux gérer le trafic, Waze va ainsi non seulement les rendre vulnérables, mais leur donner des informations erronées.
Utilisateurs Waze suivis à la trace - Faille partiellement corrigée
Google a effectué une mise à jour de son application de trafic communautaire pour espérer rectifier le problème. Ainsi, lorsque l'application Waze est ouverte, mais reste en tâche de fond, il est impossible d'accéder aux données de géolocalisation concernant l'utilisateur. Celles-ci ne seront plus partagées avec les utilisateurs qui se trouvent à proximité du conducteur. Mais selon Ben Zhao, le premier responsable de l'équipe qui a mené les recherches, un pirate pourra accéder aux informations personnelles d'un utilisateur dès que l'application est utilisée en premier plan. Ainsi, pour le moment, la faille est partiellement corrigée et le seul moyen de le contourner est de se mettre en mode invisible. Or celui-ci se désactive automatiquement à chaque redémarrage de l'application. Selon toujours Ben Zhao, avec quelques serveurs de plus, la méthode que les chercheurs ont utilisé pourrait permettre de surveiller l'intégralité de la population américaine ! Waze n'étant pas la seule application à présenter cette faille de sécurité.
Sources :