Selon Kaspersky, les voitures connectés sont toujours vulnérables

1
92

Alors que de plus en plus de véhicules exploitent une connexion Internet pour gérer différentes fonctions, les chercheurs de Kaspersky Lab ont examiné la sécurité des applications de commande à distance des modèles de plusieurs grands constructeurs automobiles.

Les experts de la société de cybersécurité russe Kaspersky ont ainsi découvert que plusieurs applications embarquées dans les véhicules présentent un certain nombre de problèmes de sécurité, susceptibles de permettre à des criminels de causer des dommages significatifs aux propriétaires de voitures connectées. Le rapport a été présenté lors de la RSA Conference de San Francisco.

Tous les types de systèmes embarqués sont concernés, tant les simples systèmes d’infodivertissement que les systèmes internes critiques tels que le verrouillage des portières ou l’allumage. La protection des voitures connectées contre le risque de cyberattaques est désormais devenu crucial…

Les chercheurs de Kaspersky Lab ont mis à l’épreuve 7 applications développées par de grands constructeurs et ont ainsi découvert que chacune des applications examinées présentait plusieurs problèmes de sécurité :

  • Pas de protection contre la rétro-ingénierie de l’application. Par conséquent, les malfaiteurs peuvent se retrancher et trouver des vulnérabilités qui leur donnent accès à l’infrastructure du serveur ou au système multimédia de la voiture.
  • Pas de vérification de l’intégrité du code. Ceci permet aux cybercriminels d’intégrer leur propre code sur l’application, en ajoutant des capacités malveillantes et en remplaçant le programme original par un faux sur l’appareil de l’utilisateur.
  • Pas de techniques de détection de root. Les droits root donnent aux chevaux de Troie des capacités presque illimitées et laissent l’application sans défense.
  • Manque de protection contre les techniques de recouvrement. Cela permet aux applications malveillantes de montrer des fenêtres d’hameçonnage en haut des fenêtres des applications originales, en piégeant les utilisateurs qui saisissent leurs identifiants, et qui sont ensuite envoyés aux cybercriminels.
  • Stockage des identifiants et des mots de passe en texte clair. En se servant de cette faiblesse, un hacker peut détourner des données d’utilisateurs de façon relativement facile.

Une fois l’exploitation réussie, un hacker est en mesure de prendre le contrôle de la voiture, débloquer les portes, désactiver l’alarme de sécurité, et théoriquement, de voler le véhicule.

Les chercheurs ont dévoilé leurs découvertes aux développeurs (ils n’ont pas révélé de noms d’apps publiquement) et leur ont également indiqué qu’aucune exploitation n’avait été observée dans la nature. Un rapport complet et détaillé est disponible sur Securelist, où chacune des applications est évaluée.

Il est facile de faire la sourde oreille, en pensant que vous ne pourrez pas être piraté ou que c’est de la science-fiction, mais la vérité est que depuis son invention, l’automobile est une cible pour les cybercriminels. Et s’il existe un piratage pour rendre les choses plus faciles, imaginez rien qu’un seul instant les possibilités.

Un autre élément à garder à l’esprit est qu’on a déjà vu des vulnérabilités permettre à des hackers blancs de contrôler des voitures via des « vulnérabilités bénignes ». Deux histoires importantes ont marqué l’automobile ces deux dernières années avec le contrôle d’une Jeep par Charlie Miller et Chris Valasek grâce à des vulnérabilités.

Conclusion de l’étude de Kaspersky Lab ? La voici :

« Dans leur état actuel, les applications commandant les véhicules connectés ne sont pas prêtes à résister aux attaques de malware. Lorsque l’on considère la sécurité d’une voiture connectée, il ne faut pas se cantonner à l’infrastructure côté serveur. Nous pensons que les constructeurs automobiles s’exposent aux mêmes risques que les banques avec leurs applications. Au départ, les applications des banques en ligne n’intégraient pas toutes les fonctions de sécurité que nous avons répertoriées. Après de multiples cas d’attaques contre des applications bancaires, de nombreux établissements ont amélioré la sécurité de leurs produits »

Les commentaires sont fermés.