
Ford met en garde contre une vulnérabilité de débordement de mémoire tampon dans son système d’infodivertissement SYNC3 utilisé dans de nombreux véhicules Ford et Lincoln, qui pourrait permettre l’exécution de code à distance, mais affirme que la sécurité de conduite du véhicule n’est pas affectée.
SYNC3 est un système d’infodivertissement moderne qui prend en charge les points d’accès Wi-Fi embarqués, la connectivité téléphonique, les commandes vocales, les applications tierces, etc.
Le système particulier est utilisé dans les modèles de voitures suivants :
- Ford EcoSport (2021 – 2022)
- Ford Escape (2021 – 2022)
- Ford Bronco Sport (2021 – 2022)
- Ford Explorer (2021 – 2022)
- Ford Maverick (2022)
- Ford Expedition (2021)
- Ford Ranger (2022)
- Ford Transit Connect (2021 – 2022)
- Ford Super Duty (2021 – 2022)
- Ford Transit (2021 – 2022)
- Ford Mustang (2021 – 2022)
- Ford Transit CC-CA (2022)
Agresseurs à proximité
La vulnérabilité est identifiée comme CVE-2023-29468 et se trouve dans le pilote WL18xx MCP pour le sous-système WiFi intégré au système d’infodivertissement de la voiture, qui permet à un attaquant à portée WiFi de déclencher un dépassement de mémoire tampon à l’aide d’un cadre spécialement conçu.
« Un attaquant à portée sans fil d’un appareil potentiellement vulnérable peut avoir la possibilité d’écraser la mémoire du processeur hôte exécutant le pilote MCP », lit-on dans le bulletin de sécurité du fournisseur du système.
Ford a été informé par le fournisseur de la découverte de la faille WiFi et a pris des mesures immédiates pour la valider, estimer l’impact et développer des mesures d’atténuation.
Dans une déclaration publiée sur le portail média de Ford, le constructeur automobile promet de rendre disponible prochainement un correctif logiciel, que les clients pourront charger sur une clé USB et installer sur leurs véhicules.
« Bientôt, Ford publiera un correctif logiciel en ligne à télécharger et à installer via USB », lit-on dans l’annonce de Ford.
« En attendant, les clients préoccupés par la vulnérabilité peuvent simplement désactiver la fonctionnalité WiFi via le menu Paramètres du système d’infodivertissement SYNC 3. »
Pour apaiser davantage les inquiétudes, le constructeur automobile américain a également déclaré que la faille n’est pas facile à exploiter, et même dans ce scénario improbable, elle ne mettrait pas en danger la sécurité des véhicules ciblés.
« À ce jour, nous n’avons vu aucune preuve que cette vulnérabilité a été exploitée, ce qui nécessiterait probablement une expertise importante et inclurait également la proximité physique d’un véhicule individuel dont le contact et le WiFi sont activés », explique Ford.
« Notre enquête a également révélé que si cette vulnérabilité était exploitée, aussi improbable soit-elle, cela n’affecterait pas la sécurité des occupants du véhicule, puisque le système d’infodivertissement est protégé par un pare-feu des commandes telles que la direction, l’accélération et le freinage. »
Enfin, la société invite tous les chercheurs en sécurité qui ont découvert des vulnérabilités dans ses véhicules à soumettre leurs rapports directement sur le programme HackerOne de la société, grâce auquel elle a jusqu’à présent résolu près de 2 500 bogues.