{"id":496116,"date":"2022-12-05T09:34:44","date_gmt":"2022-12-05T11:34:44","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-siriusxm-permet-aux-pirates-de-deverrouiller-et-de-demarrer-a-distance-des-voitures-connectees\/"},"modified":"2022-12-05T09:34:45","modified_gmt":"2022-12-05T11:34:45","slug":"la-vulnerabilite-siriusxm-permet-aux-pirates-de-deverrouiller-et-de-demarrer-a-distance-des-voitures-connectees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-siriusxm-permet-aux-pirates-de-deverrouiller-et-de-demarrer-a-distance-des-voitures-connectees\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 SiriusXM permet aux pirates de d\u00e9verrouiller et de d\u00e9marrer \u00e0 distance des voitures connect\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des v\u00e9hicules \/ Internet des objets<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 qui expose les voitures de Honda, Nissan, Infiniti et Acura \u00e0 des attaques \u00e0 distance via un service de v\u00e9hicule connect\u00e9 fourni par SiriusXM.<\/p>\n<p>Le probl\u00e8me pourrait \u00eatre exploit\u00e9 pour d\u00e9verrouiller, d\u00e9marrer, localiser et klaxonner n&#8217;importe quelle voiture de mani\u00e8re non autoris\u00e9e simplement en connaissant le num\u00e9ro d&#8217;identification du v\u00e9hicule (VIN), a d\u00e9clar\u00e9 le chercheur Sam Curry dans un <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/samwcyo\/status\/1597792141169725440\" target=\"_blank\">Fil Twitter<\/a> La semaine derni\u00e8re.<\/p>\n<p>Les services de v\u00e9hicules connect\u00e9s (CV) de SiriusXM sont <a rel=\"nofollow noopener\" href=\"https:\/\/www.siriusxmcvs.com\/about\/\" target=\"_blank\">a dit<\/a> \u00eatre utilis\u00e9 par plus de 10 millions de v\u00e9hicules en Am\u00e9rique du Nord, y compris Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjRFZ8qsBvgTY-k97x35shkWsLwy9nml2qvGAhoSUrgnOv4cjMNq_Fxt3PX1-fGsYvukFgecZk_tEq7yo25JhDC5-Vs1Y7zQbdJRNWI2oxxbGupTJLIJ0PYz_4_8B6uWYsPON_7MgJlvofZuiWyadFpo71DOfXvGZzq6ie6zFQwJuzi2macqFLGR30PbA\/s1600\/Uptycs-728.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le syst\u00e8me est <a rel=\"nofollow noopener\" href=\"https:\/\/www.siriusxmcvs.com\/connected-services\/\" target=\"_blank\">con\u00e7u<\/a> pour permettre une large gamme de services de s\u00fbret\u00e9, de s\u00e9curit\u00e9 et de commodit\u00e9 tels que la notification automatique d&#8217;accident, l&#8217;assistance routi\u00e8re am\u00e9lior\u00e9e, le d\u00e9verrouillage des portes \u00e0 distance, le d\u00e9marrage du moteur \u00e0 distance, l&#8217;assistance \u00e0 la r\u00e9cup\u00e9ration de v\u00e9hicule vol\u00e9, la navigation pas \u00e0 pas et l&#8217;int\u00e9gration avec les appareils domestiques intelligents, entre autres.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 concerne une faille d&#8217;autorisation dans un programme t\u00e9l\u00e9matique qui a permis de r\u00e9cup\u00e9rer les d\u00e9tails personnels d&#8217;une victime ainsi que d&#8217;ex\u00e9cuter des commandes sur les v\u00e9hicules en envoyant une requ\u00eate HTTP sp\u00e9cialement con\u00e7ue contenant le num\u00e9ro VIN \u00e0 un point de terminaison SiriusXM (&#8220;telematics.net&#8221;) .<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Pirater des voitures connect\u00e9es\" border=\"0\" data-original-height=\"410\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/La-vulnerabilite-SiriusXM-permet-aux-pirates-de-deverrouiller-et-de.gif\" title=\"Pirater des voitures connect\u00e9es\"\/><\/div>\n<p>Dans un d\u00e9veloppement connexe, Curry a \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/samwcyo\/status\/1597695281881296897\" target=\"_blank\">d\u00e9taill\u00e9<\/a> une vuln\u00e9rabilit\u00e9 distincte affectant les voitures Hyundai et Genesis qui pourrait \u00eatre exploit\u00e9e pour contr\u00f4ler \u00e0 distance les serrures, les moteurs, les phares et les coffres des v\u00e9hicules fabriqu\u00e9s apr\u00e8s 2012 en utilisant les adresses e-mail enregistr\u00e9es.<\/p>\n<p>Gr\u00e2ce \u00e0 l&#8217;ing\u00e9nierie inverse des applications MyHyundai et MyGenesis et \u00e0 l&#8217;inspection du trafic API, les chercheurs ont trouv\u00e9 un moyen de contourner l&#8217;\u00e9tape de validation des e-mails et de prendre le contr\u00f4le \u00e0 distance des fonctions d&#8217;une voiture cible.<\/p>\n<p>\u00ab En ajoutant un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Glossary\/CRLF\" target=\"_blank\">Caract\u00e8re CRLF<\/a> \u00e0 la fin d&#8217;une adresse e-mail de victime d\u00e9j\u00e0 existante lors de l&#8217;inscription, nous pouvions cr\u00e9er un compte qui contournait la v\u00e9rification de comparaison des param\u00e8tres JWT et e-mail \u00bb, a expliqu\u00e9 Curry.<\/p>\n<p>SiriuxXM et Hyundai ont depuis d\u00e9ploy\u00e9 des correctifs pour corriger les d\u00e9fauts.<\/p>\n<p>Les r\u00e9sultats viennent alors que Sandia National Laboratories <a rel=\"nofollow noopener\" href=\"https:\/\/newsreleases.sandia.gov\/ev_security\/\" target=\"_blank\">r\u00e9sum\u00e9<\/a> un nombre de <a rel=\"nofollow noopener\" href=\"https:\/\/www.mdpi.com\/1996-1073\/15\/11\/3931\" target=\"_blank\">d\u00e9fauts connus<\/a> dans l&#8217;infrastructure alimentant la recharge des v\u00e9hicules \u00e9lectriques (VE), qui pourrait \u00eatre exploit\u00e9e pour \u00e9cr\u00e9mer les donn\u00e9es des cartes de cr\u00e9dit, modifier les prix et m\u00eame d\u00e9tourner tout un r\u00e9seau de chargeurs de VE.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/siriusxm-vulnerability-lets-hackers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 d\u00e9cembre 2022\ue804Ravie LakshmananS\u00e9curit\u00e9 des v\u00e9hicules \/ Internet des objets Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 qui expose les voitures de Honda, Nissan, Infiniti et Acura \u00e0 des attaques \u00e0 distance via un service de v\u00e9hicule connect\u00e9 fourni par SiriusXM. Le probl\u00e8me pourrait \u00eatre exploit\u00e9 pour d\u00e9verrouiller, d\u00e9marrer, localiser et klaxonner [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":496117,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,14645,4158,4165,4161,2360,133,39473,2526,4157,4159,4171,4170,4167,4160,4163,4162,9701,4394,4172,4169,129827,4166,830,3667,4164],"class_list":["post-496116","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-connectees","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-demarrer","tag-des","tag-deverrouiller","tag-distance","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permet","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-siriusxm","tag-violation-de-donnees","tag-voitures","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/496116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=496116"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/496116\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/496117"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=496116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=496116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=496116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}