Vulnérabilité alarmante dans les systèmes automobiles
Imaginez pouvoir déverrouiller un véhicule simplement en regardant son numéro de châssis, un code de 17 caractères visible depuis l’extérieur. Ce scénario n’est pas un fantasme, mais une réalité découvert par un chercheur en cybersécurité, Eaton Zveare, lors de son exploration des failles de sécurité au sein des systèmes internes d’une grande marque automobile . Il a prouvé qu’il était possible, grâce à un accès non autorisé à un portail utilisé par les concessionnaires, de débloquer à distance des voitures sans aucune interaction physique avec celles-ci.
Zveare a accédé à ce portail interne et a mis en lumière une grave brèche de sécurité . Ce n’était pas un attaque contre des utilisateurs ou des serveurs publics, mais plutôt une faille dans le système d’information d’une entreprise, connectant le fabricant aux réseaux de vente. Zveare a réussi à modifier le code de la page de connexion pour contourner les contrôles de sécurité et créer un compte administratif avec des privilèges étendus, lui donnant accès à plus de 1 000 concessionnaires aux États-Unis.
Identification et exploitation des failles
Cette découverte soulève des questions cruciales sur la sécurité des données dans l’automobile. Une fois l’accès établi, Zveare pouvait non seulement consulter les informations concernant les véhicules et leurs propriétaires , mais aussi se comporter comme un employé du fabricant. Il pouvait ainsi voir les données de tous les concessionnaires connectés et agir au nom d’autres utilisateurs, sans avoir besoin de leurs identifiants.
Il est important de noter que Zveare n’a pas eu besoin de pirater un système avec des outils malveillants. Sa méthode consistait à exploiter une portail mal sécurisé déjà en place. La faille révélée ne permettait pas seulement l’accès à des ressources internes, mais offrait également des outils qui devraient alterner uniquement en étant sous l’autorité de professionnels dûment habilités.
Actuellement, aux États-Unis, les lois qui régissent la vente de véhicules varient d’un État à l’autre, mais la majorité d’entre elles partagent un principe fondamental : les fabricants ne peuvent pas vendre directement au consommateur. Ils doivent le faire par l’intermédiaire de concessionnaires indépendants, ce qui a créé un réseau franchisé complexe qui englobe des milliers de points de vente. Cela rend encore plus inquiétante cette vulnérabilité, car elle met en péril la confidentialité des clients ainsi que l’intégrité des entreprises.
Conséquences potentiellement catastrophiques
Ce qui est particulièrement troublant, c’est que ce système permet des actions avec des privilèges importants, comme si l’intrus faisait partie de la structure officielle du fabricant. Des actes tels que l’intervention sur des véhicules enregistrés à travers le pays, ou l’accès à des fonctions réservées aux techniciens autorisés, pourraient être accomplis avec une facilité déconcertante.
Chaque véhicule est assigné un numéro de châssis unique, un code légal destiné à l’identifier dans le monde entier. Ce qui pourrait surprendre beaucoup de conducteurs, c’est que ce code est visible de l’extérieur, au bas du pare-brise. Zveare a utilisé ce numéro de châssis pour accéder à des informations personnelles et a même pu lier le véhicule à une nouvelle compte mobile, le rendant potentiellement accessible à distance.
Le portail était conçu pour simplifier les opérations des concessionnaires, et non pour résister à un accès malveillant depuis l’intérieur.
Bien que Zveare n’ait pas tenté de conduire un véhicule ou d’en modifier la configuration physique, il aurait eu la possibilité d’ouvrir à distance un véhicule et de vider son contenu . À ce jour, le nom du fabricant affecté n’est pas rendu public. Bien que le chercheur sache quelle marque était derrière le portail compromis, il a choisi de ne pas la divulguer pour éviter des risques supplémentaires.
Les chercheurs en cybersécurité optent parfois pour l’anonymat dans de tels cas, même après correction de la vulnérabilité. Cette prudence est compréhensible, car elle protège d’autres parties tierces, telles que les concessionnaires ou les clients, qui pourraient encore dépendre de ce système compromis. Lorsque la faille concerne des réseaux entiers , il est souvent préférable de rester discret pour ne pas alarmer inutilement.
Cette affaire souligne l’importance cruciale de la sécurité dans les systèmes numériques, particulièrement dans un domaine aussi sensible que l’automobile. Alors que les véhicules deviennent de plus en plus connectés , la protection des données et des utilisateurs doit être une priorité pour les fabricants.
La découverte de Zveare est un appel à l’action pour les entreprises, leur intimant de réévaluer leurs mesures de sécurité et de garantir la protection des informations sensibles utilisées par les concessionnaires et les consommateurs. La vulnérabilité exposée ici n’est qu’un rappel de l’importance d’une cybersécurité proactive dans un monde où les menaces ne cessent d’évoluer.