Un bug sur le site Web permet aux utilisateurs de suivre les téléphones cellulaires américains sans autorisation

Il y a une semaine, le sénateur américain John Wyden a déposé une plainte officielle auprès de la FCC au sujet d'un système de suivi téléphonique qui peut être utilisé par la police pour suivre presque n'importe quel téléphone aux États-Unis. Maintenant, des preuves ont émergé qu'un deuxième service de suivi téléphonique, beaucoup plus terrifiant, a permis à presque n'importe qui de suivre les téléphones portables américains..

Le système est appelé LocationSmart, et c'est un service de suivi téléphonique qui peut localiser l'emplacement des téléphones cellulaires connectés aux réseaux de transporteurs appartenant à Verizon, AT&T, Sprint et T-Mobile.

Incroyablement, le chercheur en sécurité, Brian Krebs, a maintenant révélé qu'un bogue - qui est extrêmement facile à exploiter - a été trouvé dans la démo gratuite de l'outil de localisation..

Cette API gratuite, qui était disponible sur le site Web de LocationSmart jusqu'à récemment, avait permis à quiconque possédant des connaissances de base en matière de codage de suivre à peu près n'importe quel téléphone cellulaire aux États-Unis..

Où es-tu?

La démo de suivi de localisation existait pour permettre aux consommateurs de vérifier la viabilité de la technologie en leur permettant de vérifier l'emplacement de leur propre téléphone. Cela a fonctionné en laissant les clients potentiels entrer leur nom, leur adresse e-mail et leur numéro de téléphone dans un formulaire en ligne. Par la suite, l'utilisateur a reçu un SMS lui demandant sa permission pour se rapprocher de la position de son téléphone en utilisant la triangulation de la tour cellulaire.

Cependant, un chercheur travaillant à l'Université Carnegie Mellon a découvert un moyen de contourner le processus d'autorisation SMS. Le résultat? La possibilité d'interroger l'emplacement de n'importe quel téléphone aux États-Unis à l'aide de l'outil de démonstration en ligne.

Facile à exploiter

Selon Robert Xiao du Carnegie Mellon’s Human-Computer Interaction Institute, il a trouvé le bogue par hasard:

"Je suis tombé dessus presque par accident, et ce n'était pas très difficile à faire.

«C'est quelque chose que n'importe qui pourrait découvrir avec un minimum d'effort. Et l'essentiel est que je peux suivre les téléphones portables de la plupart des gens sans leur consentement. »

Dans le blog détaillé de Xiao sur le bogue, il explique que des modifications faciles à apporter aux demandes Web de la démo ont permis à quiconque de contourner la nécessité pour les utilisateurs de téléphones d'approuver par SMS avant d'être suivi. Xiao a testé le bogue en suivant plusieurs fois le téléphone de son ami et a réussi à le suivre en temps réel. "C'est vraiment un truc effrayant", a-t-il commenté.

Xiao a également expliqué que "car il est basé sur l'opérateur, il fonctionne quel que soit le système d'exploitation du téléphone ou les paramètres de confidentialité de l'appareil lui-même. Il n'y a pas de possibilité de retrait".

Mario Proietti, PDG de LocationSmart, a déclaré publiquement que la société allait lancer une enquête sur ce qui s'était passé. L'outil de démonstration a déjà été supprimé du site Web. Selon Proietti, l'API n'a été mise à disposition qu'à des «fins légitimes et autorisées». Parlant du service, il a commenté:

"Il est basé sur une utilisation légitime et autorisée des données de localisation qui n'a lieu qu'avec le consentement. Nous prenons la confidentialité au sérieux et nous examinerons tous les faits et nous les examinerons. »

Atteinte à la vie privée

Le sénateur Ron Wyden a de nouveau exprimé sa colère face à la manière terne dont les données des consommateurs sont traitées par les entreprises de télécommunications et les tiers avec lesquels elles travaillent:

«Cette fuite, survenue quelques jours seulement après la mise à jour de la sécurité laxiste chez Securus, montre à quel point les petites entreprises de l'écosystème sans fil apprécient la sécurité des Américains. Il représente un danger clair et présent, non seulement pour la vie privée, mais pour la sécurité financière et personnelle de chaque famille américaine.

"Parce qu'ils apprécient les profits au-dessus de la vie privée et de la sécurité des Américains dont ils font le trafic, les opérateurs de téléphonie mobile et LocationSmart semblent avoir permis à presque tous les pirates ayant une connaissance de base des sites Web de suivre l'emplacement de tout Américain avec un téléphone portable."

Zone grise légale

Krebs a approché les quatre opérateurs de téléphonie mobile impliqués, mais tous ont refusé de confirmer ou de nier qu'ils avaient travaillé avec LocationSmart. Bien que non confirmé, Krebs affirme qu'il est possible que la démo soit disponible à exploiter depuis 2011 et certainement depuis janvier 2017..

Selon l'avocat du personnel d'Electronic Frontier Foundation, les entreprises sont tenues par la loi de conserver les données de localisation afin de les mettre à la disposition des services d'urgence. Cependant, il reste une zone grise s'il est légal pour les transporteurs de vendre également ces données à des entreprises comme LocationSmart et Securus sans obtenir au préalable l'autorisation directe des consommateurs. Krebs a déclaré:

"Une entreprise tierce divulguant des informations sur la localisation des clients non seulement violerait presque certainement les propres politiques de confidentialité de chaque fournisseur de téléphonie mobile, mais l'exposition en temps réel de ces données pose de sérieux risques de confidentialité et de sécurité pour pratiquement tous les clients mobiles américains.."

Pour l'instant, nous devrons attendre et voir ce qui sort de l'enquête de la FCC. Cependant, une chose est sûre, cela ne va pas être facilement brossé sous le tapis.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me