Imaginez pouvoir \u00a0d\u00e9verrouiller un v\u00e9hicule\u00a0 simplement en regardant son num\u00e9ro de ch\u00e2ssis, un code de 17 caract\u00e8res visible depuis l\u2019ext\u00e9rieur. Ce sc\u00e9nario n\u2019est pas un fantasme, mais une r\u00e9alit\u00e9 d\u00e9couvert par un chercheur en cybers\u00e9curit\u00e9, Eaton Zveare, lors de son exploration des failles de s\u00e9curit\u00e9 au sein des syst\u00e8mes internes d\u2019une grande \u00a0marque automobile\u00a0. Il a prouv\u00e9 qu\u2019il \u00e9tait possible, gr\u00e2ce \u00e0 un acc\u00e8s non autoris\u00e9 \u00e0 un portail utilis\u00e9 par les concessionnaires, de \u00a0d\u00e9bloquer \u00e0 distance\u00a0 des voitures sans aucune interaction physique avec celles-ci.<\/p>\n
<\/p>\n
Zveare a acc\u00e9d\u00e9 \u00e0 ce portail interne et a mis en lumi\u00e8re une grave \u00a0br\u00e8che de s\u00e9curit\u00e9\u00a0. Ce n\u2019\u00e9tait pas un attaque contre des utilisateurs ou des serveurs publics, mais plut\u00f4t une faille dans le syst\u00e8me d\u2019information d\u2019une entreprise, connectant le fabricant aux r\u00e9seaux de vente. Zveare a r\u00e9ussi \u00e0 modifier le code de la page de connexion pour contourner les contr\u00f4les de s\u00e9curit\u00e9 et cr\u00e9er un compte administratif avec des privil\u00e8ges \u00e9tendus, lui donnant acc\u00e8s \u00e0 plus de \u00a01 000 concessionnaires\u00a0 aux \u00c9tats-Unis.<\/p>\n
<\/p>\n
Cette d\u00e9couverte soul\u00e8ve des questions cruciales sur la \u00a0s\u00e9curit\u00e9 des donn\u00e9es\u00a0 dans l\u2019automobile. Une fois l\u2019acc\u00e8s \u00e9tabli, Zveare pouvait non seulement consulter les \u00a0informations concernant les v\u00e9hicules et leurs propri\u00e9taires\u00a0, mais aussi se comporter comme un employ\u00e9 du fabricant. Il pouvait ainsi voir les donn\u00e9es de tous les concessionnaires connect\u00e9s et agir au nom d’autres utilisateurs, sans avoir besoin de leurs identifiants.<\/p>\n
<\/p>\n
Il est important de noter que Zveare n\u2019a pas eu besoin de pirater un syst\u00e8me avec des outils malveillants. Sa m\u00e9thode consistait \u00e0 exploiter une \u00a0portail mal s\u00e9curis\u00e9\u00a0 d\u00e9j\u00e0 en place. La faille r\u00e9v\u00e9l\u00e9e ne permettait pas seulement l’acc\u00e8s \u00e0 des ressources internes, mais offrait \u00e9galement des outils qui devraient alterner uniquement en \u00e9tant sous l\u2019autorit\u00e9 de professionnels d\u00fbment habilit\u00e9s.<\/p>\n
<\/p>\n
Actuellement, aux \u00c9tats-Unis, les lois qui r\u00e9gissent la \u00a0vente de v\u00e9hicules\u00a0 varient d’un \u00c9tat \u00e0 l’autre, mais la majorit\u00e9 d’entre elles partagent un principe fondamental : les \u00a0fabricants\u00a0 ne peuvent pas vendre directement au consommateur. Ils doivent le faire par l\u2019interm\u00e9diaire de concessionnaires ind\u00e9pendants, ce qui a cr\u00e9\u00e9 un r\u00e9seau franchis\u00e9 complexe qui englobe des milliers de points de vente. Cela rend encore plus inqui\u00e9tante cette vuln\u00e9rabilit\u00e9, car elle met en p\u00e9ril la confidentialit\u00e9 des clients ainsi que l\u2019int\u00e9grit\u00e9 des entreprises.<\/p>\n
<\/p>\n
Ce qui est particuli\u00e8rement troublant, c\u2019est que ce syst\u00e8me permet des actions avec des privil\u00e8ges importants, comme si l\u2019intrus faisait partie de la structure officielle du fabricant. Des actes tels que l’intervention sur des v\u00e9hicules enregistr\u00e9s \u00e0 travers le pays, ou l’acc\u00e8s \u00e0 des fonctions r\u00e9serv\u00e9es aux techniciens autoris\u00e9s, pourraient \u00eatre accomplis avec une facilit\u00e9 d\u00e9concertante.<\/p>\n
<\/p>\n
Chaque v\u00e9hicule est assign\u00e9 un num\u00e9ro de ch\u00e2ssis unique, un \u00a0code l\u00e9gal\u00a0 destin\u00e9 \u00e0 l\u2019identifier dans le monde entier. Ce qui pourrait surprendre beaucoup de conducteurs, c’est que ce code est visible de l’ext\u00e9rieur, au bas du pare-brise. Zveare a utilis\u00e9 ce num\u00e9ro de ch\u00e2ssis pour acc\u00e9der \u00e0 des \u00a0informations personnelles\u00a0 et a m\u00eame pu lier le v\u00e9hicule \u00e0 une nouvelle compte mobile, le rendant potentiellement accessible \u00e0 distance.<\/p>\n
<\/p>\n
Le portail \u00e9tait con\u00e7u pour simplifier les op\u00e9rations des concessionnaires, et non pour r\u00e9sister \u00e0 un acc\u00e8s malveillant depuis l’int\u00e9rieur.<\/p>\n<\/p><\/div>\n<\/div>\n
Bien que Zveare n’ait pas tent\u00e9 de conduire un v\u00e9hicule ou d’en modifier la configuration physique, il aurait eu la possibilit\u00e9 d\u2019ouvrir \u00e0 distance un v\u00e9hicule et de \u00a0vider son contenu\u00a0. \u00c0 ce jour, le nom du fabricant affect\u00e9 n\u2019est pas rendu public. Bien que le chercheur sache quelle marque \u00e9tait derri\u00e8re le portail compromis, il a choisi de ne pas la divulguer pour \u00e9viter des risques suppl\u00e9mentaires.<\/p>\n
<\/p>\n
Les chercheurs en cybers\u00e9curit\u00e9 optent parfois pour l’anonymat dans de tels cas, m\u00eame apr\u00e8s correction de la vuln\u00e9rabilit\u00e9. Cette prudence est compr\u00e9hensible, car elle prot\u00e8ge d’autres parties tierces, telles que les concessionnaires ou les clients, qui pourraient encore d\u00e9pendre de ce syst\u00e8me compromis. Lorsque la faille concerne des \u00a0r\u00e9seaux entiers\u00a0, il est souvent pr\u00e9f\u00e9rable de rester discret pour ne pas alarmer inutilement.<\/p>\n
<\/p>\n
Cette affaire souligne l’importance cruciale de la s\u00e9curit\u00e9 dans les syst\u00e8mes num\u00e9riques, particuli\u00e8rement dans un domaine aussi sensible que l\u2019automobile. Alors que les v\u00e9hicules deviennent de plus en plus \u00a0connect\u00e9s\u00a0, la protection des donn\u00e9es et des utilisateurs doit \u00eatre une priorit\u00e9 pour les fabricants.<\/p>\n
La d\u00e9couverte de Zveare est un appel \u00e0 l’action pour les entreprises, leur intimant de r\u00e9\u00e9valuer leurs mesures de s\u00e9curit\u00e9 et de garantir la protection des informations sensibles utilis\u00e9es par les concessionnaires et les consommateurs. La vuln\u00e9rabilit\u00e9 expos\u00e9e ici n’est qu’un rappel de l’importance d’une cybers\u00e9curit\u00e9 proactive dans un monde o\u00f9 les menaces ne cessent d’\u00e9voluer.<\/p>\n