LEBIGDATA.FR I.A, Cloud & Cybersécurité
Un bug dans le système d'infotainment Sirius XM permet aux hackers de prendre le contrôle d'une voiture à distance. Plusieurs marques connues dont Nissan et Honda sont concernées. Heureusement, des chercheurs en cybersécurité ont découvert la faille avant qu'il ne soit trop tard…
Nos véhicules embarquent toujours plus de technologie, pour le meilleur… mais aussi pour le pire. Parmi ces innovations, on pense bien sûr aux systèmes d'infodivertissement permettant à la fois de recevoir de précieuses informations et de se divertir en voiture.
Toutes les voitures modernes peuvent être considérées comme des ordinateurs roulants, connectés à internet. Des données entrent et sortent du véhicule : c'est ce qu'on appelle la télématique.
Elle rend les voitures plus confortables et plus personnalisables, mais les rend aussi potentiellement plus vulnérables aux cyberattaques et à une prise de contrôle à distance.
À cause d'un bug dans le système d'infodivertissement, de nombreuses voitures étaient menacées. Cette faille non découverte jusqu'à récemment concerne plusieurs marques populaires, dont Honda, Nissan, Infiniti et Acura.
En l'exploitant, un hacker pouvait pirater une voiture et s'emparer des données du propriétaire, dont son nom, son numéro de téléphone, son adresse et les papiers du véhicule. Pire encore, il serait en mesure de localiser l'auto, la déverrouiller, la démarrer, allumer les phares, faire sonner le klaxon et ouvrir le coffre.
Heureusement, un groupe de chercheurs a pu découvrir le bug avant les cybercriminels. Ils étaient à la recherche de problèmes de sécurité impliquant des constructeurs automobiles majeurs.
Un bug dans le système d'infotainment Sirius XM
More car hacking!
Earlier this year, we were able to remotely unlock, start, locate, flash, and honk any remotely connected Honda, Nissan, Infiniti, and Acura vehicles, completely unauthorized, knowing only the VIN number of the car.
Here's how we found it, and how it works: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) November 30, 2022
L'un des chercheurs, Sam Curry de Yuga Labs, âgé de 22 ans, explique que son équipe était convaincue de trouver des bugs en inspectant les fournisseurs de services télématiques de ces fabricants.
Selon ses dires, cette industrie est un véritable danger pour la confidentialité. Les constructeurs automobiles sont en effet connus pour vendre les données de leurs véhicules à des agences qui les fournissent ensuite entre autres aux gouvernements…
En explorant le code de différentes applications pour voitures, Curry et ses collègues ont soudain découvert un « loophole » dans l'infrastructure fournie par le géant des radios Sirius XM.
On retrouve cette infrastructure dans les systèmes d'infodivertissement de la plupart des véhicules, au même titre que d'autres services télématiques du fournisseur.
Or, SiriusXM a la capacité d'effectuer des actions sur le véhicule comme le verrouillage et le déverrouillage. Le logiciel communique par satellite avec l'API SiriusXM sur internet.
Les données et commandes sont envoyées vers et depuis Sirius par de nombreux véhicules. Et ces informations peuvent être détournées par les hackers.
Une exploit des applis MyHonda et Nissan Connected
Comme l'explique Sam Curry, cela revient à avoir un téléphone portable connecté au véhicule pouvant recevoir et envoyer des messages depuis la voiture, lui indiquant quoi faire ou partageant son état.
En l'occurrence, l'infrastructure est bâtie autour de cet échange de données. Les utilisateurs peuvent s'y connecter en s'authentifiant à l'aide d'une application mobile comme Nissan Connected ou MyHonda.
Une fois connecté à son compte et son numéro d'immatriculation associé, l'utilisateur pouvait exécuter des commandes et recevoir des données de son véhicule comme sa vitesse ou son emplacement.
En exploitant une faille d'authentification dans le système Sirius XM, un cybercriminel aurait pu prendre le contrôle du véhicule et du compte de son propriétaire sur l'appli mobile.
Les chercheurs ont ensuite continué l'escalade, et découvert la requête HTTP permettant d'exécuter les commandes du véhicule. Dès lors, ils étaient capables de contrôler les voitures et de s'emparer de toutes les données du propriétaire. La seule condition était de connaître le numéro d'immatriculation du véhicule…
Les analystes de Yuga Labs ont découvert que les applications mobiles de Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota utilisent la technologie SiriusXM pour implémenter les fonctionnalités de gestion de véhicule à distance.
We sent the HTTP request using our CRLF-appended victim account to attempt to remotely unlock the vehicle connected to the victim's email address. The service took a few seconds, then finally returned "200 OK".@_specters_ confirmed that his car had unlocked!
— Sam Curry (@samwcyo) November 29, 2022
Suite à la révélation des experts, Sirius XM a reconnu le problème et confirmé avoir reçu leur rapport. La firme souligne toutefois que le bug a été corrigé dans les 24 heures après son signalement. A priori, aucun cybercriminel n'a profité de cette faille auparavant…
Quoi qu'il en soit, cet incident confirme que les véhicules modernes bardés de technologie sont exposés à des risques qui n'existaient pas autrefois. Face à ces menaces nouvelles, il est urgent que l'industrie de l'automobile renforce la cybersécurité de nos voitures…
- Partager l'article :
