Le chercheur en sécurité Eaton Zveare a découvert une série de vulnérabilités dans le portail de concession en ligne d’un constructeur automobile. Réservée aux concessionnaires agréés et au réseau de vente de la marque, la plateforme permet de commander des véhicules, consulter le stock, accéder aux documents techniques et commerciaux, et de suivre les livraisons de voitures. Le chercheur refuse de communiquer le nom de la marque automobile, vraisemblablement pour des raisons de sécurité. Il précise cependant qu’il s’agit d’un constructeur automobile connu, disposant d’une multitude de sous-marques populaires.
Comme l’explique le chercheur à TechCrunch, les failles peuvent permettre à un attaquant d’obtenir un « accès illimité » au portail de concession. Concrètement, l’attaquant peut créer un compte administrateur sur la plateforme, sans en avoir le droit. Une fois dans le système, le pirate pourrait consulter les données personnelles et financières des clients de la marque. C’est déjà une catastrophe en matière de confidentialité et de respect de la vie privée des automobilistes. Par ailleurs, la plateforme permet de suivre en temps réel toutes les voitures de location d’un concessionnaire et l’évolution des commandes.
À lire aussi : 4 failles Bluetooth touchent des millions de voitures Mercedes, Volkswagen et Skoda
Comment un pirate peut prendre le contrôle à distance d’une voiture ?
Malheureusement, il y a pire. L’accès au portail permet à l’attaquant d’activer à distance certaines options connectées d’un véhicule, comme le démarrage, le verrouillage des portes, le chauffage/ climatisation ou encore la localisation. Avec les données visibles sur le portail, le pirate peut ensuite associer n’importe quelle voiture à un compte d’application mobile. En d’autres termes, il peut installer l’application de la marque sur son smartphone pour prendre le contrôle à distance du véhicule. Dans le cadre de ses expérimentations, Zveare est parvenu à obtenir le contrôle de la voiture d’un de ses amis.
« Pour mon test, un ami m’a donné son accord pour que je prenne le contrôle de sa voiture, et j’ai sauté sur l’occasion. Mais le portail pourrait en réalité permettre de faire ça à n’importe qui, simplement en connaissant son nom — ce qui m’inquiète un peu — ou même en repérant une voiture sur un parking », déclare Eaton Zveare.
Le chercheur souligne qu’il suffit qu’un attaquant dispose du numéro d’identification unique de la voiture, visible sur le pare-brise, pour lancer une attaque. Le numéro permet en effet de faire une recherche sur le portail destiné aux concessionnaires. Avec ce simple numéro, qu’on peut apercevoir en se baladant dans un parking, il est possible de déterminer le nom du propriétaire. Ensuite, les données stockées sur le portail peuvent servir à coupler la voiture avec l’application sur smartphone. En quelques étapes, il obtient le contrôle de la voiture.
Théoriquement, il n’est pas possible de démarrer avec la voiture. Pour ça, le smartphone doit être configuré comme une clé, ce qui ne semble pas possible dans ce cas de figure. Il faut en effet disposer de la clé physique pour réaliser l’opération. Néanmoins, des voleurs pourraient se servir de la chaine d’attaque pour pénétrer dans le véhicule et perpétrer des vols.
À lire aussi : Une borne de recharge pour voiture électrique piratée sème la pagaille dans un village français
« Des cauchemars de sécurité »
Le chercheur pointe du doigt la sécurité informatique défaillante du portail de concession de la marque. Une vulnérabilité permet en effet à un pirate de charger facilement un code défectueux dans le navigateur au moment de la connexion. Cette tactique permet de contourner les mécanismes de sécurité. Par ailleurs, ce portail peut servir de pont vers les systèmes des autres concessions. L’expert blâme un système d’authentification unique, qui permet à un concessionnaire de se connecter à plusieurs portails avec la même combinaison d’identifiants. C’est une aubaine pour le pirate qui a décidé d’exploiter les vulnérabilités d’une plateforme.
De l’avis de Eaton Zveare, ces vulnérabilités « ne sont que des cauchemars de sécurité qui ne demandent qu’à se produire ». Comme le souligne le chercheur, il n’a fallu qu’une paire de failles pour parvenir, de fil en aiguille, à prendre le contrôle d’une voiture et à se glisser dans son habitacle. Bonne nouvelle, le constructeur automobile a été prévenu du problème de sécurité. Celui-ci a corrigé le tir en février dernier. Il n’est donc plus possible d’exploiter la chaine de vulnérabilités pour pénétrer au sein d’une voiture.
Pour rappel, des failles analogues ont été découvertes dans le portail des concessionnaires Kia en 2023. Une fois exploitées, les brèches permettaient de localiser, de suivre à la trace et de pirater toutes les voitures Kia fabriquées après 2013. Des bugs similaires ont été débusqués dans les systèmes d’Acura, Genesis, Honda, Hyundai, Infiniti, ou encore Toyota. Dans tous les cas, les défaillances, mettant en danger la sécurité des véhicules, provenaient d’un portail de concession mal sécurisé.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : TechCrunch
