La question n’est plus comment, mais quand va-t-on assister au premier piratage criminel d’un véhicule. Pour l’instant, seuls des hackers éthiques partagent leur réussite, mais leurs exploits deviennent de plus en plus impressionnants. Ce 30 novembre 2022, Sam Curry, un expert dans les failles, a détaillé sur Twitter une opération de piratage réussie sur plusieurs marques de véhicules.
Accompagné d’une équipe de hackers, il est parvenu à entrer dans le système informatique et ouvrir les portes de nombreux modèles de Hyundai, Nissan, Honda, Infiniti et Acura. « Nous avons vraiment aimé l’idée de marcher dans un parking et de pouvoir scanner les numéros VIN — un numéro d’identification propre à chaque véhicule — pour déverrouiller les voitures », nous lance Sam.
Découvrez enfin une carte bancaire de prestige : la World Elite Mastercard de Fortuneo est conçue pour vous offrir des services adaptés à votre style de vie et toutes vos envies
Pour commencer, l’équipe s’est d’abord attaquée à deux applications du groupe Hyundai. Les hackers ont travaillé sur les vulnérabilités dans l’accès au compte et sont parvenus à récupérer les infos avec l’adresse mail d’une victime. « Il y avait une vulnérabilité de validation d’entrée qui nous a permis d’accéder à n’importe quel compte en utilisant seulement leur adresse e-mail. Cela nous a permis de suivre et d’effectuer des actions à distance sur leur véhicule (s’il a été fabriqué après 2012) et d’accéder à leur compte utilisateur », explique Sam Curry à Numerama. L’opération a été filmée, et l’on peut voir dans une vidéo le véhicule se déverrouiller une fois le signal envoyé aux serveurs.
Sam précise que l’expérience a été menée dans le cadre d’un programme coordonné de divulgation des vulnérabilités. Le groupe a accordé l’entière permission pour tester et divulguer cette faille.
Une faille dans l’opérateur réseau
Satisfait de la réussite de cette première opération, le groupe de hacker a décidé d’aller plus loin. « Lorsque nous avons découvert la vulnérabilité de l’email, nous avons pensé : c’est cool, mais ce serait tellement plus amusant si nous pouvions cibler une voiture en utilisant uniquement son numéro d’identification. Cela nous a poussé à regarder plus profondément chez SiriusXM », nous raconte le spécialiste des vulnérabilités. Sirus XM est un opérateur américain de radio par satellite qui se charge aussi de la télématique dans les véhicules. Concrètement, cette entreprise gère les boitiers enregistrant toutes les données du véhicule, notamment le GPS, la vitesse ou encore la quantité de carburant.
Chaque automobile est identifiable grâce à un numéro d’identification. Cette longue série de chiffres est aussi ce qui permet au satellite de reconnaitre une voiture d’une autre. En fouillant dans les applications, les hackers ont trouvé ces fameux numéros et les ont utilisés comme moyen de connexion. Bingo ! Le code étant relié aux identifiants, Sam et son équipe sont parvenus une nouvelle fois à accéder aux informations de l’utilisateur et à prendre le contrôle de son auto. Des véhicules Honda, Nissan, Acura, et Infiniti ont été attaqués par les hackers, mais les modèles ne sont pas précisés.
« L’attaquant peut se trouver à l’autre bout du monde »
« Vous pouvez le déverrouiller de n’importe où. Vous pouvez aussi démarrer le moteur, allumer les phares, klaxonner et localiser le véhicule. L’attaquant peut se trouver à l’autre bout du monde, pour autant qu’il dispose d’une connexion Internet et que le véhicule cible ait du réseau », indique Sam Curry. Cette dernière déclaration est d’autant plus effrayante que les dernières opérations pour déverrouiller un véhicule se faisaient dans un rayon proche de celui-ci. Un youtubeur avait, par exemple, réussi à reproduire le signal Bluetooth pour ouvrir une Tesla.
Cette fois, il n’y a pas de limite de distance. L’opération est certes réalisée par des experts en la matière, mais avec les ressources nécessaires, un groupe qualifié peut également s’intéresser à ces failles. Dans ce contexte, les piratages comme celui mené par l’équipe de Sam sont essentiels pour découvrir les failles avant que les criminels se lassent des administrations sans argent ou des PME mal protégées. Pire, qu’adviendrait-il si des pirates à la solde d’un État venaient à prendre le contrôle d’un véhicule diplomatique ? Le virage vers le véhicule connecté sera aussi une course des experts en cybersécurité contre les hackers pour contrecarrer le pire scénario. Rappelons qu’aucun système n’est infaillible.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !