Mise à mal la semaine passée dans le cadre de la Black Hat USA 2015 organisée à Las Vegas, la sécurité des voitures connectées vient à nouveau d’être battue en brèche lors de la conférence Usenix de San Diego.
À quelques jours d’intervalle, la température est montée d’un cran : on ne parle plus d’un véhicule en particulier (en l’occurrence, la Jeep Cherokee de Chrysler)… mais de plusieurs milliers de modèles potentiellement touchés.
La faille présentée par une équipe de chercheurs de l’Université de Californie retient d’autant plus l’attention.
Tout comme leurs confrères montés sur scène lors de la Black Hat, le professeur Stefan Savage et ses associés sont parvenus à prendre le contrôle des principales fonctions de l’automobile ciblée, des essuie-glaces jusqu’aux freins en passant par l’affichage sur le tableau de bord.
Ils n’ont toutefois pas directement attaqué l’ordinateur embarqué. Le point sensible ciblé par leurs soins n’est autre qu’un petit accessoire conçu pour se connecter sous le volant et agir comme une « boîte noire ».
Les informations collectées par le dispositif (géolocalisation, vitesse, comportement du conducteur…) sont exploitées entre autres par les assureurs pour « personnaliser » les contrats de leurs clients ; ou encore par les entreprises qui possèdent une flotte de véhicules, par exemple des techniciens ou des commerciaux.
De nombreux modèles de ces « boîtes noires » désignées sous l’acronyme OBD2 (« On Board Diagnostics ») sont actuellement commercialisés. Celui mis en défaut par les équipes de Stefan Savage est fabriqué par la firme française Mobile Devices.
La rétroingénierie pratiquée sur le produit a permis de déceler de multiples vulnérabilités : mode développeur activé permettant d’accéder à l’équipement par SSH, clé privée commune à tous les dongles… et configuration par défaut acceptant la réception de commandes par SMS, sans authentification.
C’est cette dernière faille que les chercheurs ont exploitée pour contrôler à distance les principales fonctionnalités du véhicule, en l’occurrence une Corvette de 2013.
Parmi les clients de Mobile Devices figure Metromile Pulse.
L’assureur, qui s’est notamment associé à l’exploitant de VTC Uber, a déployé un patch au mois de juin, par voie cellulaire. Problème : son cas n’est pas isolé. On évoque par exemple l’entreprise espagnole Coordina, spécialisée dans la gestion de flottes et aujourd’hui filiale de TomTom.
Interrogée par Wired, la direction assure avoir expérimenté l’attaque en interne et constaté qu’elle n’affectait que d’anciennes versions des OBD2, « encore utilisés dans une poignée de camions ». Et de préciser que le piratage par SMS est « quasi impossible », le numéro de téléphone associé n’étant pas public (on notera que les chercheurs affirment qu’une attaque par force brute est possible, sans en apporter de preuve).
Ce n’est pas la première alerte sur ce type de dispositif. Il y a plus d’un an, la division Unit 8 200 du renseignement israélien s’inquiétait déjà des failles du Zubie : absence de chiffrement lors du téléchargement des mises à jour, pas de vérification des signatures… Suffisamment pour permettre l’injection de malware par des tiers.
Crédit photo : Syda Productions – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…