Comme chacun sait, nos voitures sont de plus en plus équipées de technologies informatiques et connectées. Mais cela ne se fait pas sans failles, comme a pu récemment le constater BMW avec son ConnectedDrive…
Revenons sur cette vulnérabilité datant du début du mis de février, ayant mis en émoi la constructeur bavarois BMW, qui a du sortir en urgence un patch correctif.
D’après une étude allemande complète et détaillée de l’exploitation, la problématique est double : d’une part une connexion non sécurisée entre les serveurs de BMW et le téléphone mobile des conducteurs en plus de la vulnérabilité totale du fichier de configuration du système.
A l’heure où le cabinet d’analyses Gartner estime qu’il y aura 250 millions de voitures connectées en 2020 via son rapport “Prédictions 2015 : l’Internet des objets”, il semble inquiétant de voir ce genre de vulnérabilité critique touchant le cœur même des systèmes embarqués dans les véhicules. N’oublions pas qu’en 2020, les 250 millions de voitures connectées seront autant de cibles potentielles pour les pirates informatiques !
Cette fois, c’est le constructeur automobile BMW vient d’en faire les frais. Coup de chance, l’exploit n’a pas été découvert par des pirates malintentionnés mais par les membres de l’ADAC, une puissante association d’automobilistes allemande. La faille de sécurité touche le service ConnectedDrive du constructeur bavarois, portant sur le système de déverrouillage à distance du véhicule via le téléphone mobile lorsque les propriétaires ont perdu ou égaré leurs clefs. Il se trouve que la connexion avec le téléphone mobile n’était pas sécurisée et que le fichier de configuration n’est pas protégé contre les modifications.
“The car gets sent a text message instructing it to load new configuration data from the BMW servers. This data gets loaded via a simple HTTP Get request and is formatted as unencrypted XML that is trivial to understand. The configuration file is not protected against manipulation at all, something that could have been easily solved by signing the data. This means it was easy, using my emulated network, to first activate Remote Services and then open the doors.”
2,2 millions de véhicules BMW impactés
Face à l’urgence de la situation, BMW a du réagir très rapidement en produisant et déployant un patch correctif, sachant que ce sont 2,2 millions de véhicules du groupe BMW (BMW, Mini et Roll-Royce) dans le monde qui étaient vulnérables.
Le constructeur a alors déployé une mise à jour permettant une migration vers le protocole HTTPS pour les connexions distantes, sans oublier l’implémentation d’un certificat SSL d’authenticité du serveur BMW qui sera demandé avant chaque opération. Cette mise à jour s’effectue automatiquement dès lors que le véhicule se connecte sur le serveur BMW Group ou via un appel du conducteur. Le fichier de configuration quand à lui a été protégé.
Selon BMW, aucune tentative de corruption de son réseau hormis celle effectuée par l’ADAC ne lui a été rapportée. Selon le site de l’ADAC, voici la liste des véhicules pouvant être affectés par une telle attaque, car utilisant le service ConnectedDrive (mise en service du 03/2010 au 8/12/2014) :
BMW
- Série 1 : Cabriolet, Coupé et Touring (E81, E82, E87, E88, F20, F21),
- Série 2 : Active Tourer, Coupé et Cabriolet (F22, F23, F45),
- Série 3 : Cabriolet, Coupé, GT, M3 et Touring (E90, E91, E92, E93, F30, F31, F34, F80),
- Série 4 : Coupé, Cabriolet, Gran Coupé et M4 (F32, F33, F36, F82, F83),
- Série 5 : GT et Touring (F07, F10, F11, F18),
- Série 6 : Cabriolet et Gran Coupé (F06, F12, F13),
- Série 7 : (F01, F02, F03, F04),
- I3 (I01), I8 (I12),
- X1 (E84), X3 (F25), X4 (F26), X 5 (E70, F15, F85), X6 (E71, E72, F16, F86), Z 4 (E89).
Mini
- 3 et 5 portes (F55, F56).
Rolls-Royce
- Phantom Coupé et Drophead Coupé (RR1, RR2, RR3),
- Ghost (RR4),
- Wrait (RR5).
Pour les intéressés, l’étude complète est disponible ici.