Vidéo: Ce hacker sénégalais peut pirater une Tesla en 15 minutes (Novembre 2024)
Le piratage de voiture a fait la une des journaux ces derniers temps, même s’il n’ya eu qu’un seul incident documenté (il s’agissait d’un travail interne il ya cinq ans).
Maintenant, l'attention s'est tournée vers les dispositifs de voiture connectés du marché secondaire qui se connectent au port de diagnostic embarqué II d'un véhicule, également appelé dongle OBD-II. Les dispositifs existent depuis plusieurs années et permettent aux propriétaires de véhicules construits après 1996 avec un port ODB-II d’ajouter une connectivité. Ils sont proposés par des entreprises allant des grands assureurs automobiles à une dizaine de jeunes entreprises, allant de la surveillance des styles de conduite et de l’économie de carburant au suivi des adolescents alors qu’ils sont au volant.
Couper les freins d'une corvette
Lors d'une conférence sur la sécurité cette semaine, des chercheurs de l'Université de Californie à San Diego (UCSD) ont révélé comment ils ont pu pirater sans fil un dongle OBD-II branché sur une Corvette de dernière génération. Ils ont envoyé des SMS à un appareil qui a activé les essuie-glaces de la voiture et coupé les freins. Les chercheurs ont noté que le piratage des freins ne pouvait être effectué qu’à basse vitesse en raison de la conception du véhicule, mais ils ont également expliqué que l’attaque pouvait facilement être adaptée à presque tous les véhicules modernes pour prendre en charge des composants critiques tels que la direction ou la transmission.
"Nous avons acquis certaines de ces technologies, les avons modifiées et, en cours de route, nous avons constaté qu'elles présentaient de nombreuses failles de sécurité", a déclaré Stefan Savage, professeur de sécurité informatique à l'UCSD, qui a dirigé le projet. Les dongles "offrent de multiples moyens de contrôler à distance… tout ce qui se trouve sur le véhicule auquel ils étaient connectés", a-t-il ajouté.
Les chercheurs de l'UCSD ont alerté Metromile sur la vulnérabilité du dongle en juin, et la société a déclaré avoir envoyé un correctif de sécurité sans fil aux appareils. "Nous avons pris cela très au sérieux dès que nous l'avons découvert", a déclaré à Wired, le PDG de Metromile.
Néanmoins, même après que Metromile ait envoyé son correctif de sécurité, des milliers de dongles étaient visibles et pouvaient toujours être piratés, en grande partie parce qu’ils étaient utilisés par la société espagnole de gestion de flotte Coordina. Dans une déclaration de la société mère TomTom Telematics, Coordina a indiqué qu'elle avait examiné l'attaque des chercheurs et découvert qu'elle s'appliquait uniquement à une version plus ancienne des dongles utilisés par la société. Nous sommes en train de remplacer un "nombre limité" de ces périphériques.
La société a également noté que le numéro de téléphone attribué aux cartes SIM dans ses appareils n'était pas public et ne pouvait pas être contacté par SMS, comme lors de l'attaque des chercheurs de l'UCSD. Mais les chercheurs ont rétorqué que même sans connaître le numéro de téléphone d'une carte SIM, les dongles étaient susceptibles d'attaques brutales en envoyant un déluge de messages texte.
Alors que les piratages récents de voitures de série ont pris des mois à effectuer un accès à distance ou un accès physique au véhicule, les failles de sécurité des dongles OBD-II connectés au cloud sont connues depuis plusieurs mois et semblent beaucoup plus faciles à pirater. Et le problème ne se limite pas aux produits pour appareils mobiles. En janvier, le chercheur en sécurité Corey Thuen a pu pirater le dispositif Snapshot de Progressive, tandis que les chercheurs de la société de cyber-sécurité Argus ont découvert des failles de sécurité avec le dispositif OBD-II de Zubie.
Les chercheurs ont noté que les piratages potentiels ne se limitaient pas à la Corvette utilisée dans leurs tests et qu’ils pourraient éventuellement détourner la direction ou les freins de n’importe quel véhicule moderne équipé d’un dongle pour appareils mobiles branché sur son tableau de bord. "Ce n'est pas seulement cette voiture qui est vulnérable", a déclaré Karl Koscher, chercheur à l'UCSD.
Comme pour les voitures connectées des constructeurs automobiles, il n’ya pas encore eu de piratage malveillant documenté d’un véhicule équipé d’un dongle OBD-II. Mais les chercheurs estiment que la menace est réelle et notent que, contrairement à la connectivité dans les voitures de série, le gouvernement ne surveille pas les appareils du marché secondaire.
"Nous en avons beaucoup qui sont déjà sur le marché", a ajouté Savage. "Étant donné que nous avons assisté à un exploit à distance complet et que ces éléments ne sont aucunement réglementés et que leur utilisation est en train de croître… Je pense que c'est une évaluation juste qu'il y aura des problèmes ailleurs".
"Réfléchissez bien à ce que vous branchez sur votre voiture", avertit Koscher. "Il est difficile pour le consommateur habituel de savoir que son appareil est fiable ou non, mais c'est une chose à laquelle il devrait réfléchir un moment. Est-ce que cela m'expose à plus de risques?"
C'est une question que les consommateurs connectés demandent depuis des années et que les conducteurs qui souhaitent connecter leur voiture au cloud via un dongle OBD-II devront également le faire.
