Si vous utilisez Waze, des hackeurs peuvent vous suivre à la trace

High-tech

PIRATAGE - Des experts en sécurité informatique ont découvert une faille permettant d’espionner en temps réel les trajets des utilisateurs de l’application de navigation communautaire Waze. Selon eux, presque toutes les applications d’aide à la conduite seraient concernées. Explications.

C’est l’une des applications d’aide à la conduite les plus populaires en France. Aujourd’hui, près de 5 millions d’automobilistes utilisent presque quotidiennement le service de navigation communautaire Waze. Il a y a quelque mois, des chercheurs de l’Université de Californie à Santa-Barbara (Etats-Unis) ont découvert une faille, partiellement corrigée seulement, qui permet à des hackeurs d’espionner en temps réel les déplacements de n’importe quel utilisateur.

L’équipe d’experts en sécurité informatique a suivi durant trois jours les trajets d’une journaliste du site américain Fusion . Afin de vous livrer les informations de trafic, Waze utilise une connexion sécurisée pour communiquer avec votre smartphone. Or c’est justement là que se trouve la faille. Les chercheurs sont parvenus, en effet, à se placer entre les serveurs de l’application et l’utilisateur. De ce fait, ils ont pu intercepter toutes ses données de navigation, ainsi que ses trajets en bus ou en taxi. 

Voiture fantôme, véhicule espion, embouteillage virtuel

Une fois infiltrés dans les serveurs de l’application, ils ont pu étudier en détail le fonctionnement des algorithmes de Waze. Au-delà des problèmes de confidentialité, les chercheurs se sont aperçus qu’ils pouvaient également créer des véhicules "fantômes". Dans le but, par exemple, de créer de faux embouteillages ou d’épier tous les utilisateurs se trouvant à proximité de ce conducteur virtuel. En envoyant plusieurs véhicules fantômes, ils affirment avoir été en mesure de quadriller un quartier entier.


D’après ces experts en sécurité en informatique, il serait même possible de surveiller l’intégralité de la population américaine, simplement “en utilisant quelques serveurs de plus”. Imaginez : tous vos trajets pourraient être enregistrés et mis à disposition du plus offrant. L’équipe de recherche a informé Waze de sa découverte, il y a plusieurs mois, et l’application, rachetée par Google en 2013, avait procédé à une mise à jour. Mais elle ne corrige que partiellement la faille.

"Toutes ont quasiment toutes ce type de failles"

Depuis janvier dernier, les données de géolocalisation ne sont plus partagées avec les conducteurs situés à proximité lorsque l’application est ouverte en tâche de fond. En revanche, il est toujours possible de vous espionner lorsqu’elle est en marche. Mais la faille est toujours présente quand on l’utilise en premier plan.

Comment faire ?  Seule solution pour le moment : utiliser le mode invisible... qui se désactive automatiquement à chaque redémarrage de l’application.

Waze semble être en effet conscient de ses lacunes. Dernièrement, l’application a mis en place une fonction censée permettre à son utilisateur de masquer son emplacement réel. Cependant, comme on le démontre l’enquête de Fusion, ce nouveau système n’est pas vraiment efficace. Et surtout, elle n’est pas à la seule application concernée, si l’on en croit Ben Zhao : "Nous avons étudié de nombreuses applications. Presque toutes ont ce type de failles. Nous ne savons pas comment stopper cela", s'inquiète Zhao. Pas de quoi rassurer les automobilistes...

A LIRE AUSSI
>>  Attentats de Paris : les applis Waze et Coyote dans le collimateur de la police >>  Waze, le GPS qui mise tout sur sa communauté d'utilisateurs >> 3 conseils pour exploiter au mieux la nouvelle version de Waze

Sur le même sujet

Et aussi

Lire et commenter