Lorsque les chercheurs en sécurité ont trouvé dans le passé des moyens de détourner les systèmes connectés à Internet des véhicules, leurs démonstrations de validation de principe tendaient à montrer, heureusement, que le piratage des voitures est difficile. Des exploits comme ceux que les pirates ont utilisés pour prendre le contrôle à distance d’une Chevrolet Impala en 2010 ou d’une Jeep en 2015 ont nécessité des années de travail et des astuces ingénieuses : rétro-ingénierie du code obscur des unités télématiques des voitures, transmettant des logiciels malveillants à ces systèmes. via des tonalités audio diffusées via des connexions radio, ou même en plaçant un disque contenant un fichier musical contenant des logiciels malveillants dans le lecteur de CD de la voiture.
Cet été, un petit groupe de pirates a démontré une technique considérablement plus simple pour pirater et suivre des millions de véhicules, aussi simple que de trouver un simple bug sur un site Web.
Aujourd’hui, un groupe de chercheurs indépendants en sécurité a révélé avoir découvert une faille dans un portail Web exploité par le constructeur automobile Kia, qui permettait aux chercheurs de réaffecter le contrôle des fonctionnalités connectées à Internet de la plupart des véhicules Kia modernes, des dizaines de modèles représentant des millions de voitures. sur la route, du smartphone du propriétaire d’une voiture au téléphone ou à l’ordinateur des pirates. En exploitant cette vulnérabilité et en créant leur propre application personnalisée pour envoyer des commandes aux voitures cibles, ils ont pu scanner pratiquement n’importe quelle plaque d’immatriculation de véhicule Kia connectée à Internet et, en quelques secondes, acquérir la possibilité de suivre l’emplacement de cette voiture, de la déverrouiller, de klaxonner. , ou démarrer son allumage à volonté.
Après que les chercheurs ont alerté Kia du problème en juin, Kia semble avoir corrigé la vulnérabilité de son portail Web, bien qu’elle ait déclaré à l’époque à WIRED qu’elle enquêtait toujours sur les conclusions du groupe et qu’elle n’avait pas répondu aux e-mails de WIRED depuis lors. Mais le correctif de Kia est loin d’être la fin des problèmes de sécurité Web de l’industrie automobile, affirment les chercheurs. Le bug Web qu’ils ont utilisé pour pirater Kias est, en fait, le deuxième du genre qu’ils ont signalé à l’entreprise appartenant à Hyundai ; ils ont trouvé une technique similaire pour détourner les systèmes numériques de Kias l’année dernière. Et ces bugs ne sont que deux parmi une multitude de vulnérabilités similaires sur le Web qu’ils ont découvertes au cours des deux dernières années et qui ont affecté les voitures vendues par Acura, Genesis, Honda, Hyundai, Infiniti, Toyota, etc.
« Plus nous étudions ce sujet, plus il devenait évident que la sécurité Web des véhicules était très mauvaise », déclare Neiko « spectres » Rivera, l’un des chercheurs qui ont découvert la dernière vulnérabilité de Kia et qui ont travaillé avec un groupe plus large. responsable de la précédente série de problèmes de sécurité automobile sur le Web révélés en janvier de l’année dernière.
« Ces problèmes ponctuels ne cessent de surgir », explique Sam Curry, un autre membre du groupe de piratage automobile, qui travaille comme ingénieur en sécurité pour la société Web3 Yuga Labs, mais affirme avoir effectué cette recherche de manière indépendante. « Cela fait deux ans, il y a eu beaucoup de bon travail pour résoudre ce problème, mais il semble toujours vraiment cassé. »
Lire une plaque d’immatriculation, pirater une voiture
Avant d’alerter Kia sur sa dernière faille de sécurité, le groupe de recherche a testé sa technique basée sur le Web sur une poignée de Kia (locations, voitures d’amis, même chez les concessionnaires) et a constaté que cela fonctionnait dans tous les cas. Ils ont également montré la technique à WIRED, en la démontrant sur la Kia Soul 2020 d’un chercheur en sécurité qui leur a été présenté quelques minutes plus tôt dans un parking à Denver, au Colorado, comme le montre la vidéo ci-dessus.
La technique de piratage Kia basée sur le Web du groupe ne permet pas à un pirate informatique d’accéder aux systèmes de conduite tels que la direction ou les freins, et ne permet pas non plus de surmonter ce que l’on appelle l’antidémarrage qui empêche une voiture de démarrer, même si son contact est démarré. Il aurait cependant pu être combiné avec des techniques de neutralisation des dispositifs d’immobilisation populaires parmi les voleurs de voitures ou utilisé pour voler des voitures bas de gamme dépourvues de dispositifs d’immobilisation, y compris certaines Kia.
Même dans les cas où elle n’autorisait pas le vol pur et simple d’une voiture, la faille Web aurait pu créer d’importantes opportunités de vol du contenu d’une voiture, de harcèlement des conducteurs et des passagers, ainsi que d’autres problèmes de confidentialité et de sécurité.
« Si quelqu’un vous interrompait dans la circulation, vous pouviez scanner sa plaque d’immatriculation, savoir où il se trouvait à tout moment et entrer par effraction dans sa voiture », explique Curry. « Si nous n’avions pas porté ce problème à l’attention de Kia, quiconque pourrait interroger la plaque d’immatriculation de quelqu’un pourrait essentiellement le traquer. » Pour les Kia équipées d’une caméra à 360 degrés, cette caméra était également accessible aux pirates. En plus de permettre le détournement de fonctionnalités connectées dans les voitures elles-mêmes, dit Curry, la faille du portail Web a également permis aux pirates d’interroger un large éventail d’informations personnelles sur les clients Kia : noms, adresses e-mail, numéros de téléphone, adresses personnelles et même itinéraires de conduite passés dans les voitures. dans certains cas, une fuite de données potentiellement massive.
La technique de piratage de Kia que le groupe a trouvée fonctionne en exploitant une faille relativement simple dans le backend du portail Web de Kia destiné aux clients et aux concessionnaires, qui est utilisé pour configurer et gérer l’accès aux fonctionnalités de sa voiture connectée. Lorsque les chercheurs ont envoyé des commandes directement à l’API de ce site Web (l’interface qui permet aux utilisateurs d’interagir avec ses données sous-jacentes), ils ont déclaré avoir constaté que rien ne les empêchait d’accéder aux privilèges d’un concessionnaire Kia, comme l’attribution ou la réattribution de contrôle. des fonctionnalités des véhicules à tout compte client qu’ils ont créé. « C’est vraiment simple. Ils ne vérifiaient pas si un utilisateur était un revendeur », explique Rivera. « Et c’est en quelque sorte un gros problème. »
Le portail Web de Kia permettait de rechercher des voitures en fonction de leur numéro d’identification du véhicule (VIN). Mais les pirates ont découvert qu’ils pouvaient trouver rapidement le VIN d’une voiture après avoir obtenu son numéro de plaque d’immatriculation à l’aide du site Web PlateToVin.com.
Plus largement, ajoute Rivera, tout concessionnaire utilisant le système semblait se voir confier un contrôle choquant sur les caractéristiques des véhicules liées à un compte particulier. « Les concessionnaires ont beaucoup trop de pouvoir, même sur les véhicules qui ne touchent pas leur terrain », explique Rivera.