Des voitures récentes piratées en quelques secondes par un groupe de hackers

Quelques défauts de conception dans les applications mobiles de certains constructeurs automobiles permettent à quelqu’un d’autre de prendre la voiture. Les ingénieurs de Yuga Lab recherchent ces problèmes et les soumettent au fabricant de la voiture et à ses sous-traitants.

La question n’est pas de savoir si nous assisterons à la première tentative de piratage de véhicules par un criminel. Pour l’instant, seuls les hackers éthiques partagent leurs succès, mais leurs exploits sont de plus en plus impressionnants. Le 30 novembre 2022, Sam Curry , un expert en vulnérabilité, a décrit sur Twitter une opération de piratage réussie sur diverses marques de véhicules.

Avec l’aide d’un groupe de pirates, Sam a pu accéder à l’ordinateur du système et déverrouiller les portes d’une variété de types qui incluent Hyundai, Nissan, Honda, Infiniti et Acura.  » Nous aimions l’idée d’entrer dans un parking et de pouvoir scanner les numéros VIN, qui sont des numéros d’identification uniques pour chaque véhicule, afin de déverrouiller la voiture« , nous dit Sam.

Comment ont-ils piraté les voitures ?

Pour commencer, l’équipe s’est attaquée à deux applications du groupe Hyundai. Les pirates ont pu exploiter des failles dans l’accès aux comptes et ont pu accéder à des informations via une adresse email fournie par la victime. « Il y avait une faille de validation des entrées qui nous permettait d’accéder à n’importe quel compte en utilisant l’adresse e-mail. Cela nous a permis de surveiller et de contrôler à distance leur voiture (si elle a été construite après 2012) et également d’accéder à leur compte en tant qu’utilisateur », explique Sam Curry. Le processus a été capturé et, dans une vidéo, on voit le véhicule se déverrouiller lorsque le signal est transmis aux serveurs.

Sam affirme que le test a été réalisé dans le cadre d’un programme organisé de divulgation de vulnérabilités. Le groupe a reçu l’entière autorisation de tester et de révéler cette vulnérabilité.

LES PIRATES PEUVENT OBTENIR VOS DONNÉES PRIVÉES AVEC UN SIMPLE CODE VIN

Pour déverrouiller une voiture et en prendre le contrôle, les pirates n’avaient besoin que du numéro VIN du véhicule. Après avoir soumis ce numéro aux serveurs SiriusXM, ils ont pu déverrouiller la voiture et en prendre le contrôle. Sam Curry déclare : « Vous pouviez contrôler la voiture et obtenir des informations sur le compte de votre client à l’aide du code VIN qui se trouve sur le pare-brise.

Les systèmes de vérification de Sirius XM laissaient les informations des contacts de leurs clients ainsi que des identifiants apparaître dans les en-têtes des requêtes du serveur. Selon M. Curry, une fois que les entreprises sont au courant des faiblesses, elles s’empressent de lancer une mise à jour. Les criminels n’ont pas eu le temps d’exploiter ces vulnérabilités.

Nos automobiles sont de plus en plus connectées, ce qui est pratique. Toutefois, leur dépendance croissante à l’égard de la technologie sans fil et des ordinateurs nous expose à une plus grande menace de vol et de fraude. On se souvient de la série de failles de sécurité impliquant le Bluetooth qui a permis de voler la Tesla Model X en moins de 90 secondes.

 » L’attaquant pourrait se trouver de l’autre côté du globe « 

 » On peut accéder à la clé depuis n’importe quel endroit. De plus, il est possible de démarrer le moteur puis d’éteindre les feux, de klaxonner et de retrouver le véhicule. L’attaquant pourrait se trouver à l’autre bout de la planète dans le cas où il y a une connexion Internet et que le véhicule ciblé est connecté à un réseau », affirme Sam Curry. Cette dernière phrase est d’autant plus alarmante que les dernières tentatives de déverrouillage d’une voiture ont été effectuées dans un rayon proche de celle-ci. Par exemple, un YouTuber a pu reproduire le signal Bluetooth pour déverrouiller les portes d’une Tesla.

Cette fois, il n’y a pas de limitation de distance. L’opération est certainement réalisée par des spécialistes du domaine cependant avec les ressources nécessaires un groupe d’experts pourrait s’intéresser à ces faiblesses. À cet égard, les hacks tels que celui réalisé par l’équipe de Sam sont cruciaux pour découvrir les faiblesses avant que les hackers ne se lassent des agences gouvernementales à court d’argent ou des PME peu sûres. Que pourrait-il se passer si des hackers d’organisations étatiques prenaient le contrôle du véhicule diplomatique ? Le passage à un véhicule connecté pourrait également entraîner une course aux experts en cybersécurité pour prévenir le pire scénario. Sachez qu’il n’existe aucun moyen d’être fiable à 100 %.