Passer au contenu

4 failles Bluetooth touchent des millions de voitures Mercedes, Volkswagen et Skoda

Une série de failles Bluetooth a été trouvée dans un kit de développement massivement utilisé dans l’industrie automobile. Selon les chercheurs, les vulnérabilités mettent en danger des millions de voitures fabriquées par Mercedes, Volkswagen et Skoda.

Un quatuor de vulnérabilités a été découvert dans Bluetooth BlueSDK, le kit de développement logiciel (SDK) spécialisé dans les communications Bluetooth, d’OpenSynergy. Surtout destiné aux constructeurs automobiles et aux fournisseurs de systèmes embarqués, le kit est exploité par plusieurs marques de renom, comme Mercedes-Benz AG, Volkswagen et Skoda.

Baptisées PerfektBlue, les quatre failles ont été débusquées par les chercheurs de PCA Cyber Security. Ceux-ci ont prévenu OpenSynergy, l’entreprise à l’origine du kit de développement, en mai 2024, avant de détailler les résultats de leurs recherches sur un site web dédié.

À lire aussi : Ces failles Bluetooth permettent de vous espionner via vos écouteurs et vos enceintes sans fil

Une voiture transformée en mouchard par le Bluetooth

Aux dires des chercheurs, les vulnérabilités concernent « des millions d’appareils dans l’automobile et d’autres industries ». En exploitant les failles, il est possible de se connecter au système d’infodivertissement de la voiture visée. À partir de là, l’attaquant pourrait prendre le contrôle du système, élever ses privilèges (c’est-à-dire obtenir des droits d’administrateur), et accéder aux composants internes du véhicule, sans jamais devoir s’authentifier. 

Concrètement, un pirate pourrait parvenir à pister les coordonnées GPS de la voiture, écouter toutes les conversations au sein de l’habitacle, ou encore accéder aux contacts téléphoniques du téléphone relié en Bluetooth. L’attaquant pourrait aussi déployer du code malveillant sur le système embarqué ou, dans certains cas, accéder à des parties critiques de la voiture. Les chercheurs ont pu démontrer qu’il était possible de mener des attaques reposant sur les failles PerfektBlue sur des Volkswagen ID.4, des Mercedes-Benz et des Skoda Superb.

À lire aussi : 1 milliard d’appareils vulnérables – une puce Bluetooth omniprésente est victime d’une faille

« Un seul clic » peut mener à une cyberattaque

Alerté par les chercheurs, OpenSynergy a déployé des correctifs pour combler les failles de son kit. Pour le moment, il semblerait que Volkswagen soit le seul constructeur automobile à se pencher sur les vulnérabilités. Interrogé par Bleeping Computer, le groupe allemand indique que ses « enquêtes ont révélé qu’il est possible, sous certaines conditions, de se connecter au système d’infodivertissement du véhicule via Bluetooth sans autorisation », mais que l’exploitation des failles reste limitée à certaines conditions bien particulières.

Il faut tout d’abord que l’attaquant se trouve à portée du Bluetooth, soit 5 à 7 mètres du véhicule, que la voiture soit allumée, et que le système soit en mode appareillage. Par ailleurs, l’attaquant doit impérativement convaincre l’automobiliste d’approuver son accès au Bluetooth par le biais de la console. Enfin, l’attaquant perdra son accès s’il s’éloigne de la voiture. En clair, il faut se trouver dans la voiture et manipuler le conducteur pour pouvoir exploiter PerfektBlue dans le cadre d’une attaque Bluetooth. Les chercheurs soulignent qu’il « suffit d’un seul clic de l’utilisateur pour qu’un attaquant puisse exploiter la faille PerfektBlue en direct ».

Volkswagen précise que les fonctions critiques de la voiture, comme la direction, le freinage, le moteur ou les aides à la conduite, ne sont pas vulnérables. Celles-ci sont isolées du système Bluetooth de la voiture, de sorte qu’un pirate ne pourra pas y accéder, rassure l’entreprise allemande. De leur côté, les experts de PCA Cyber Security admettent que « la possibilité pour un attaquant de se déplacer latéralement à l’intérieur du véhicule dépend de son architecture ». Pour accéder à des fonctions critiques, il devra en effet trouver le moyen d’exploiter « d’autres vulnérabilités ». 

Quoi qu’il en soit, de nombreux appareils pourraient être concernés par les failles. Comme l’expliquent les chercheurs, « d’autres industries, autre que l’automobile, pourraient également être affectées », car BlueSDK est un kit massivement utilisé par de nombreux fournisseurs, y compris dans l’aéronautique, le transport ferroviaire, ou le secteur médical.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : PerfektBlue

Florian Bayard
Sur le même sujet
Les dernières actualités
Honor Magic 7 Pro
Honor Magic 7 Pro : le smartphone premium s’écroule à un prix qui fait carrément rêver (-42%) 🤩
Steam Logo Icone
Encore un jeu distribué par Steam qui vole des cryptos
Oneplus Pad 3
C’est la sensation de l’année : cette tablette premium éclipse l’iPad Pro et la Galaxy Tab S11 Ultra
Apple Watch Score De Sommeil (01net)
Apple Watch : découvrez comment fonctionne vraiment le nouveau score de sommeil
iPhone Air Ifixit
iPhone Air : mince à l’extérieur, malin à l’intérieur
Poco F7 Ultra
Il est muni du processeur le plus puissant de l’année, et pourtant le Poco F7 Ultra se vend à prix ridicule 
Malterminal Virus Ia
Voici le précurseur des virus pilotés par l’IA, MalTerminal
Xiaomi 14 Ultra
Le Xiaomi 14 Ultra chute à un prix complètement FOU : -52% sur l’as de la photographie 📷
Top téléchargements
Les tests à la une