Une vulnérabilité affectant les services de véhicules connectés de Sirius XM aurait pu permettre aux pirates de démarrer, déverrouiller, localiser, faire clignoter les lumières et klaxonner les voitures à distance. Sam Curry, ingénieur en sécurité chez Yuga Labs, a travaillé avec un groupe de chercheurs en sécurité pour découvrir la faille et a présenté leurs découvertes dans un fil sur Twitter (passant par Gizmodo).
En plus de fournir un abonnement à la radio par satellite, Sirius XM alimente également les systèmes télématiques et d’infodivertissement utilisés par un certain nombre de constructeurs automobiles, notamment Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota. . Ces systèmes collectent de nombreuses informations sur votre voiture qu’il est facile d’ignorer et qui pourraient avoir des implications potentielles sur la vie privée. L’année dernière, un rapport de Vice a attiré l’attention sur une société d’espionnage qui prévoyait de vendre les informations de localisation télématique de plus de 15 milliards de voitures au gouvernement américain.
Alors que les systèmes télématiques obtiennent des données sur la position GPS, la vitesse, la navigation détaillée et les exigences de maintenance de votre voiture, certaines configurations d’infodivertissement peuvent suivre les journaux d’appels, les commandes vocales, les messages texte, etc. Toutes ces données permettent aux véhicules de fournir des fonctionnalités « intelligentes », telles que la détection automatique des collisions, le démarrage à distance du moteur, les alertes de véhicule volé, la navigation et la possibilité de verrouiller ou de déverrouiller votre voiture à distance. Sirius XM offre toutes ces fonctionnalités et plus encore, et dit plus de 12 millions de véhicules sur la route utilisent ses systèmes de véhicules connectés.
Cependant, comme le démontre Curry, les mauvais acteurs peuvent profiter de ce système si les garanties appropriées ne sont pas en place. Dans une déclaration à Gizmodo, Curry dit que Sirius XM « a construit une infrastructure autour de l’envoi/de la réception de ces données et a permis aux clients de s’y authentifier à l’aide d’une forme d’application mobile », comme MyHonda ou Nissan Connected. Les utilisateurs peuvent se connecter à leurs comptes sur ces applications, qui sont liées au numéro VIN de leur véhicule, pour exécuter des commandes et obtenir des informations sur leurs voitures.
C’est ce système qui pourrait donner aux mauvais acteurs l’accès à la voiture de quelqu’un, explique Curry, car Sirius XM utilise le numéro VIN lié au compte d’une personne pour relayer les informations et les commandes entre l’application et ses serveurs. En créant une requête HTTP pour récupérer le profil d’un utilisateur avec le VIN, Curry dit qu’il a pu obtenir le nom, le numéro de téléphone, l’adresse et les détails de la voiture du propriétaire du véhicule. Il a ensuite essayé d’exécuter des commandes à l’aide du VIN et a découvert qu’il pouvait contrôler à distance le véhicule, lui permettant de le verrouiller ou de le déverrouiller, de démarrer la voiture et d’effectuer d’autres fonctions.
Curry dit qu’il a alerté Sirius XM de la faille et que la société l’a rapidement corrigée. Dans une déclaration à Gizmodo, la société a déclaré que la vulnérabilité « a été résolue dans les 24 heures suivant la soumission du rapport », notant qu' »à aucun moment un abonné ou d’autres données n’ont été compromis et aucun compte non autorisé n’a été modifié à l’aide de cette méthode ». Sirius XM n’a pas immédiatement répondu à Le borddemande de commentaire.
Séparément, Curry a découvert un autre défaut dans les applications MyHyundai et MyGenesis qui pourraient également potentiellement permettre aux pirates de détourner un véhicule à distance, mais dit qu’il a travaillé avec le constructeur automobile pour résoudre le problème. Les hackers chapeau blanc ont trouvé des exploits similaires dans le passé. En 2015, un chercheur en sécurité a découvert un piratage OnStar qui aurait pu permettre à de mauvais acteurs de localiser un véhicule à distance, de déverrouiller ses portes ou de démarrer la voiture. Autour du même moment, un rapport de Filaire montré comment un Jeep Cherokee pourrait être piraté et contrôlé à distance avec quelqu’un au volant.