Un duo de chercheurs a publié une preuve de concept (PoC) démontrant la capacité d’un acteur malveillant à verrouiller, déverrouiller et même démarrer à distance des véhicules Honda et Acura au moyen de ce qu’on appelle une attaque par relecture.
L’attaque est rendue possible, grâce à une vulnérabilité dans son système sans clé à distance (CVE-2022-27254) qui affecte les modèles Honda Civic LX, EX, EX-L, Touring, Si et Type R fabriqués entre 2016 et 2020. Ayyappan Rajesh, étudiant à UMass Dartmouth, et Blake Berry (HackingIntoYourHeart) sont crédités d’avoir découvert le problème.
« Un pirate informatique peut obtenir un accès complet et illimité au verrouillage, au déverrouillage, au contrôle des fenêtres, à l’ouverture du coffre et au démarrage du moteur du véhicule cible où le seul moyen d’empêcher l’attaque est de ne jamais utiliser votre télécommande ou, après avoir été compromis (ce qui serait difficile à réaliser), en réinitialisant votre télécommande chez un concessionnaire », Berry expliqué dans un article GitHub.
Le problème sous-jacent est que le porte-clés à distance des véhicules Honda concernés transmet le même signal de radiofréquence non crypté (433,215 MHz) à la voiture, permettant ainsi à un adversaire d’intercepter et de rejouer la demande ultérieurement pour démarrer le moteur sans fil comme ainsi que verrouiller et déverrouiller les portes.
Ce n’est pas la première fois qu’un défaut de ce genre est découvert sur des véhicules Honda. Un problème connexe découvert dans les modèles Honda HR-V 2017 (CVE-2019-20626score CVSS : 6,5) aurait été « apparemment ignoré » par la société japonaise, a allégué Berry.
« Les fabricants doivent mettre en place Codes roulantsautrement connu sous le nom de code de saut, » Rajesh mentionné. « Il s’agit d’une technologie de sécurité couramment utilisée pour fournir un nouveau code pour chaque authentification d’un système d’entrée sans clé à distance (RKE) ou d’entrée sans clé passive (PKE). »
Nous avons demandé à Honda un commentaire, et nous mettrons à jour l’histoire une fois que nous aurons entendu.