Des millions de voitures Honda pourraient être menacées de vol suite à la révélation d’un nouveau risque de piratage à distance.
Les chercheurs en sécurité du Star-V Lab ont découvert une technique qui permet à quiconque de déverrouiller un véhicule, d’ouvrir des portes et même de démarrer le moteur à l’aide d’une radio portable en raison d’une vulnérabilité dans le porte-clés de la voiture.
Un certain nombre de principaux modèles Honda sortis entre 2012 et 2022 sont apparemment affectés par la faille, notamment l’Accord, la Civic, le C-RV et le X-RV.
Défaut de télécommande Honda
Les chercheurs se sont associés au journaliste Rob Stumpf de Le lecteur (s’ouvre dans un nouvel onglet) pour montrer la vulnérabilité, qu’ils ont surnommée Rolling-PWN.
Le problème est contenu dans le mécanisme des codes tournants, y compris dans le système d’entrée sans clé (alias le porte-clés) afin d’empêcher la répétition des attaques « man-in-the-middle ».
L’équipe a constaté que chaque fois que le bouton de la télécommande est enfoncé, cela augmente les chances que certains codes soient acceptés pour donner accès au véhicule. L’équipe note que le récepteur à l’intérieur du véhicule accepte une « fenêtre coulissante de codes » principalement afin d’éviter les pressions accidentelles sur les touches.
A chaque appui sur le bouton, le compteur de synchronisation des rolling codes est incrémenté, ainsi en envoyant certaines commandes dans une séquence consécutive, le compteur se resynchronise en l’ouvrant aux commandes précédentes permettant d’accéder au véhicule.
« Le bogue Rolling-PWN est une vulnérabilité sérieuse », a écrit l’équipe dans un article de blog (s’ouvre dans un nouvel onglet) décrivant ses conclusions. « Nous l’avons trouvé dans une version vulnérable du mécanisme des codes roulants, qui est mis en œuvre dans d’énormes quantités de véhicules Honda. »
Les chercheurs notent que toute personne possédant une marque de véhicule spécifique pourrait être à risque, et les utilisateurs peuvent même ne pas être en mesure de détecter si la faille a été utilisée contre eux.
Ils avertissent également que la menace pourrait affecter les véhicules d’autres marques et que Honda ne semble pas actuellement avoir de solution, ni même remarqué le problème. Les chercheurs notent qu’ils ont essayé de déposer un rapport, mais n’ont pas trouvé de moyen approprié de le faire, ils ont donc contacté le service client de Honda.
Un porte-parole de Honda a déclaré Vice (s’ouvre dans un nouvel onglet) que le rapport n’était pas crédible et que les allégations ne sont pas fondées.
« Les porte-clés des véhicules référencés sont équipés d’une technologie de code tournant qui ne permettrait pas la vulnérabilité telle que représentée dans le rapport », a déclaré la société.
« De plus, les vidéos proposées comme preuve de l’absence de code tournant n’incluent pas de preuves suffisantes pour étayer les affirmations », a ajouté la société.
Via BleepingComputer (s’ouvre dans un nouvel onglet)