OBD2 Dongle français vulnérable, une Corvette piratée à distance en live

2
186

Décidément, cet été le piratage de véhicules est devenu un véritable sport international ! Cette fois-ci, ce sont 2 chercheurs américains qui ont fait une démo impressionnante du contrôle à distance d’une Corvette 2013 depuis un smartphone.

La cause serait une vulnérabilité critique au sein du port ODB2 d’origine française, construit par la société Mobile Devices, et installé sur le tableau de bord du bolide américain. Après la Jeep Cherokee, voici le tour de la Corvette de faire les frais des faiblesses des objets connectés. De nombreuses conférences portaient sur le sujet durant le Black Hat Las Vegas.

Le 11 août, à  l’Usenix Conference (un séminaire associatif d’ingénieurs, d’administrateurs systèmes, scientifiques et techniciens informatiques), a eu lieu une démonstration menée par Karl Koscher et Ian Foster, deux chercheurs en sécurité. L’objet de leur expérimentation est un port OBD2, un accessoire destiné à obtenir des informations sur sa voiture vers un appareil externe (smartphone, tablette, PC portable, etc) grâce à une application. On peut ainsi recueillir tout un tas d’informations sur le véhicule, y compris l’état des capteurs et les codes spécifiques.

Cette fois, c’est un port OBD d’origine française qui a été utilisé pour prendre le contrôle. Mobile Devices conçoit des accessoires pour la voiture et est distribuée à San Francisco via Metromile. Cette entreprise propose des tarifications d’assurances pour véhicules en fonction de la consommation kilométrique. Le système équipe notamment les flottes de véhicules des conducteurs d’Uber aux États-Unis afin d’obtenir des données en temps réel sur chacune des voitures en circulation. Une fois avoir connecté le port OBD2 en question sur le tableau de bord d’une Corvette, le résultat de la démo est sans appel : les pirates contrôlent bien la voiture et ça fait peur !

mobiledevice-obd-dongle
Le Dongle OBD2 en question commercialisé à 149 dollars environ

 

Contrôle des essuies-glace et des freins au programme !

“Nous avons acheté l’un de ces trucs, avons détourné son usage, et dans le même temps trouvé que ces appareils étaient truffés de failles de sécurité”, précise Stefan Savage, un enseignant en sécurité à l’Université de Californie de San Diego,  à l’origine du projet.

Selon lui, l’accessoire de Mobile Devices permet de commander à distance à peu près tout ce qui est connecté dans un véhicule. Pire encore, il s’avère que l’immense majorité des véhicules modernes équipés sont aussi vulnérable de la même façon… La perte de contrôle du véhicule est vite arrivée, surtout si le pirate s’en prend directement au volant par exemple ou à tout autre éléments crucial.

Une mise à jour globale a été déployée par Mobile Devices courant juin. Mais d’autres systèmes semblables existe encore, commercialisés par d’autres sociétés dans d’autres pays.

A noter que pour se protéger de l’attaque en question, il suffit de ne connecter aucun équipement de ce genre à son véhicule.

Les commentaires sont fermés.