Des alarmes automobiles piratables exposent trois millions de voitures

  Posted On   By Rémi Virlouvet   Actualités de la cybersécurité

Des millions d’automobilistes ont été potentiellement exposés au vol de leurs véhicules, en raison d’une faille de sécurité dans leur alarme de voiture – connectée par application tierce.

Les alarmes de voiture intégrées après la vente, conçues pour ajouter une couche supplémentaire de sécurité pour les véhicules, se sont avérées sérieusement défectueuses – même si elles sont parfois vendues comme «impossibles à pirater».

Une nouvelle étude de Pen Test Partners suggère en fait que l’installation d’une alarme de voiture tierce peut en réalité rendre votre véhicule moins sécurisé, voire donner aux cybercriminels une occasion de détourner votre véhicule.

Les chercheurs ont examiné les alarmes fabriquées par Pandora et Clifford (connues aux États-Unis sous le nom de Viper). Tous deux produisent des alarmes accessibles et contrôlées via des applications pour smartphone, et sont utilisés dans environ trois millions de voitures.

Par le passé, Pandora a commercialisé son produit en insistant sur son côté “inattaquable”. Une affirmation bien courageuse (sinon prétentieuse) de nos jours.

 

 

En effet, le produit de Pandora a été jugé sérieusement défectueux – en raison d’une vulnérabilité élémentaire IDOR (Insecure Direct Object Reference) grâce à laquelle tout ce qu’un pirate devait faire était d’envoyer une adresse électronique différente en tant que paramètre au système de gestion de Pandora pour déclencher la réinitialisation du mot de passe.

Selon les chercheurs, la même attaque pourrait également être utilisée contre des administrateurs afin de permettre l’accès à plusieurs véhicules.

Une fois qu’un pirate s’est connecté à un compte piraté, il peut savoir où se trouvent les véhicules, déterminer les types de véhicule (afin de voler sur commande ou de cibler les voitures les plus rentables).

 

 

Les voitures peuvent être déverrouillées et le moteur peut être démarré et arrêté à distance.

Dans une vidéo sur YouTube, les chercheurs ont montré comment ils pouvaient gérer un véhicule ciblé, activer son alarme à distance (obligeant le conducteur à s’arrêter pour enquêter), puis l’immobiliser. Il suffirait ensuite d’un peu de brutalité pour voler les clés du conducteur et partir avec son véhicule.

Ken Munro de Pen Test Partners a résumé la situation en ces termes: “C’est vraiment grave”.

Les chercheurs ont agi de manière responsable en informant les vendeurs des problèmes liés à leurs alarmes, et il a été confirmé que les deux solutions étaient résolues. Espérons que Pandora ait appris à ne pas prétendre que rien est “impiratable”.

Mais combien d’autres produits similaires pourraient être sur le marché, développés par des fournisseurs avec un faux sentiment de confiance quant à leur invincibilité, mais criblés de failles de sécurité aussi graves?