Cybersécurité Social

Une faille dans l’application de navigation Waze permet aux hackeurs d’épier vos moindres faits et gestes

9 juin 2016

author:

Une faille dans l’application de navigation Waze permet aux hackeurs d’épier vos moindres faits et gestes

Droits réservés – The Telegraph / WorldCrunch – 27 avril 2016 – Cara McGoogan 

Une faille de sécurité a été découverte au sein de Waze, l’application de navigation communautaire rachetée en 2013 par Google. Cette vulnérabilité permettrait à d’éventuels pirates informatiques d’épier les allées et venues de ses utilisateurs.

Les millions d’utilisateurs de l’application —qui permet de vérifier en temps réel l’état du trafic et d’adapter son parcours en conséquence— courent le risque d’être espionnés si Google ne résoud pas ce problème rapidement.

Les chercheurs de l’Université de Santa Barbara en Californie affirment avoir ainsi réussi à suivre à la trace une journaliste américaine du site Fusion trois jours durant, et ce à travers plusieurs états.

Si la découverte de cette vulnérabilité remonte à l’été dernier, visiblement rien n’a été fait pour la corriger.

Comment ça marche ?

La faille de Waze a permis aux chercheurs de générer un très grand nombre de « voitures fantômes » et d’en peupler la carte de navigation.

Ces profils factices peuvent par la suite être utilisés soit pour créer de faux embouteillages, soit —étant donné que l’application Waze indique la position de tous les utilisateurs ainsi que leurs pseudonymes— pour espionner l’ensemble des conducteurs présents dans les parages.

A noter que cette dernière possibilité ne concerne que les conducteurs utilisant l’application en premier plan.

Ce n’est pas première fois que la fiabilité de Waze est mise en cause. L’an dernier, une femme a été tragiquement abattue à Rio de Janeiro après avoir suivi un itinéraire calculé par Waze, et qui l’a menée elle et son mari dans l’un des quartiers les plus dangereux de la ville.

En 2014 déjà, deux étudiants israéliens avaient réussi à contourner les mesures de sécurité de l’application GPS, inondant le système de navigation de « voitures fantômes ». Le système s’était alors mis à signaler des embouteillages qui n’existaient pas. Ce piratage permettait en théorie à qui le voulait d’espionner d’autres utilisateurs, et ce même lorsque Waze ne fonctionnait qu’en arrière-plan.

« Waze effectue sans cesse des mises à jour et s’applique à prévenir toute utilisation abusive et toute tentative de fraude », a indiqué un porte-parole de l’application, cité par le site Fusion. « Nous travaillons de concert avec cette équipe de chercheurs depuis 2014, et avons déjà pris en considération un certain nombre de leurs remarques et mis en place des dispositifs dans le but de renforcer la protection des données de nos utilisateurs. »

Waze définit l’un de ces dispositifs de sécurité comme étant un véritable « système de camouflage ». Ce dernier empêche l’affichage en temps réel, en permanence, de la géolocalisation des utilisateurs.

Selon les chercheurs, ce genre de faille peut s’appliquer à n’importe quel type d’application. « Dans le cas d’une application de rencontres, un utilisateur pourrait multiplier son profil sur une zone, ou la peupler de faux comptes, réduisant à néant l’intérêt de l’application », comme l’a confié l’un des chercheurs, Ben Zhao, au site Fusion. « Nous avons analysé de nombreuses applications, et la quasi-totalité d’entre elles présentaient ce type de faille ».

Comment s’en protéger ?

Seul le « mode invisible » permet d’empêcher les autres utilisateurs de Waze d’épier vos déplacements. Cette fonctionnalité vous permet de continuer à utiliser l’application, mais vos contacts ne sauront plus que vous êtes connecté.

En d’autres termes, il vous sera impossible d’écrire des commentaires, d’ajouter et de modifier votre destination, ou même d’envoyer des messages… mais d’un autre côté, on ne devrait plus être en mesure d’épier vos moins faits et gestes.

Pour passer en mode invisible, il vous suffit d’ouvrir le menu, puis d’accéder à l’onglet « My Waze », en cliquant sur votre nom d’utilisateur. Vous pourrez alors activer la fonctionnalité.

Le mode invisible se désactive automatiquement une fois l’application fermée. Il faut donc se souvenir de l’enclencher à chaque nouvelle session.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *