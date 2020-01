Un rapport a révélé que les données de localisation GPS de l’application dashcam BlackVue étaient disponibles pour être consultées et stockées en temps réel sur plusieurs jours, voire plusieurs semaines, mettant en évidence une faille de sécurité importante dans l’application.

Comme l’a révélé Motherboard, la branche technique de Vice, le rapport indique:

BlackVue a une application qui indique l’emplacement des pilotes qui acceptent. Les créateurs disent qu’il ne devrait pas être possible de suivre ses utilisateurs en masse; nous avons trouvé le contraire …

BlackVue est une société de caméras de tableau de bord avec son propre réseau social. Avec une petite caméra de tableau de bord connectée à Internet installée à l’intérieur de leur véhicule, les utilisateurs de BlackVue peuvent recevoir des alertes lorsque leur caméra détecte un événement inhabituel tel qu’une personne entrant en collision avec leur voiture garée. Les clients peuvent également permettre à d’autres de se brancher sur le flux de leur appareil photo, ce qui permet aux autres de “vivre par procuration l’excitation et le plaisir de conduire partout dans le monde”, indique un message affiché à l’intérieur de l’application.

Mais ce que l’application de BlackVue ne précise pas, c’est qu’il est possible de tirer et de stocker les positions GPS des utilisateurs en temps réel sur des jours, voire des semaines. La carte mère a pu suivre les mouvements de certains clients de BlackVue aux États-Unis.

BlackVue permet à quiconque de créer un compte sur son site Web dans le but de visualiser des émissions en direct. La diffusion en direct n’est pas activée par défaut, c’est une fonctionnalité opt-in. Selon BlackVue, une “infime fraction” de la clientèle globale de BlackVue utilise cette fonctionnalité. Les utilisateurs de diffusion sont affichés sur une carte et vous pouvez vous connecter au flux en temps réel. Les flux disponibles sont affichés sur une carte pour la sélection, c’est là que cela commence à devenir intéressant. Selon la carte mère:

Mais les données GPS réelles qui déterminent la carte sont disponibles et accessibles au public … En inversant la version iOS de l’application BlackVue, la carte mère a pu écrire des scripts qui tirent la position GPS des utilisateurs de BlackVue sur une période d’une semaine et stocker les coordonnées et d’autres informations comme l’identifiant unique de l’utilisateur. Un script pouvait collecter toutes les deux minutes les données de localisation de chaque utilisateur de BlackVue dont la cartographie était activée dans la moitié est des États-Unis. La carte mère a collecté des données sur des dizaines de clients.

Un porte-parole de BlackVue a déclaré que “la collecte de coordonnées GPS de plusieurs utilisateurs sur une longue période de temps n’est pas censée être possible”, et a déclaré à Motherboard:

“Nos développeurs ont mis à jour les mesures de sécurité suite à votre rapport d’hier que j’ai transmis.”

La carte mère note que plusieurs requêtes Web qui avaient précédemment fourni des données utilisateur n’étaient plus fonctionnelles. Heureusement, le problème a été mis en évidence et résolu. Mais jusqu’à présent, il semble que les clients de BlackVue qui avaient choisi de diffuser leurs flux auraient pu avoir plus que ce qu’ils avaient négocié.