Pour gérer vos consentements :
Categories: RisquesSécurité

Sécurité IT : des bâtons dans les roues des voitures connectées

Mise à mal la semaine passée dans le cadre de la Black Hat USA 2015 organisée à Las Vegas, la sécurité des voitures connectées vient à nouveau d’être battue en brèche lors de la conférence Usenix de San Diego.

À quelques jours d’intervalle, la température est montée d’un cran : on ne parle plus d’un véhicule en particulier (en l’occurrence, la Jeep Cherokee de Chrysler)… mais de plusieurs milliers de modèles potentiellement touchés.

La faille présentée par une équipe de chercheurs de l’Université de Californie retient d’autant plus l’attention.

Tout comme leurs confrères montés sur scène lors de la Black Hat, le professeur Stefan Savage et ses associés sont parvenus à prendre le contrôle des principales fonctions de l’automobile ciblée, des essuie-glaces jusqu’aux freins en passant par l’affichage sur le tableau de bord.

Ils n’ont toutefois pas directement attaqué l’ordinateur embarqué. Le point sensible ciblé par leurs soins n’est autre qu’un petit accessoire conçu pour se connecter sous le volant et agir comme une « boîte noire ».

Les informations collectées par le dispositif (géolocalisation, vitesse, comportement du conducteur…) sont exploitées entre autres par les assureurs pour « personnaliser » les contrats de leurs clients ; ou encore par les entreprises qui possèdent une flotte de véhicules, par exemple des techniciens ou des commerciaux.

De nombreux modèles de ces « boîtes noires » désignées sous l’acronyme OBD2 (« On Board Diagnostics ») sont actuellement commercialisés. Celui mis en défaut par les équipes de Stefan Savage est fabriqué par la firme française Mobile Devices.

La rétroingénierie pratiquée sur le produit a permis de déceler de multiples vulnérabilités : mode développeur activé permettant d’accéder à l’équipement par SSH, clé privée commune à tous les dongles… et configuration par défaut acceptant la réception de commandes par SMS, sans authentification.

C’est cette dernière faille que les chercheurs ont exploitée pour contrôler à distance les principales fonctionnalités du véhicule, en l’occurrence une Corvette de 2013.

Parmi les clients de Mobile Devices figure Metromile Pulse.

L’assureur, qui s’est notamment associé à l’exploitant de VTC Uber, a déployé un patch au mois de juin, par voie cellulaire. Problème : son cas n’est pas isolé. On évoque par exemple l’entreprise espagnole Coordina, spécialisée dans la gestion de flottes et aujourd’hui filiale de TomTom.

Interrogée par Wired, la direction assure avoir expérimenté l’attaque en interne et constaté qu’elle n’affectait que d’anciennes versions des OBD2, « encore utilisés dans une poignée de camions ». Et de préciser que le piratage par SMS est « quasi impossible », le numéro de téléphone associé n’étant pas public (on notera que les chercheurs affirment qu’une attaque par force brute est possible, sans en apporter de preuve).

Ce n’est pas la première alerte sur ce type de dispositif. Il y a plus d’un an, la division Unit 8 200 du renseignement israélien s’inquiétait déjà des failles du Zubie : absence de chiffrement lors du téléchargement des mises à jour, pas de vérification des signatures… Suffisamment pour permettre l’injection de malware par des tiers.

Crédit photo : Syda Productions – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago