Les chercheurs en cybersécurité ont découvert une vulnérabilité de sécurité qui expose les voitures de Honda, Nissan, Infiniti et Acura à des attaques à distance via un service de véhicule connecté fourni par SiriusXM.

Le problème pourrait être exploité pour déverrouiller, démarrer, localiser et klaxonner n’importe quelle voiture de manière non autorisée simplement en connaissant le numéro d’identification du véhicule (VIN), a déclaré le chercheur Sam Curry dans un fil Twitter la semaine dernière.

Les services de véhicules connectés (CV) de SiriusXM seraient utilisés par plus de 10 millions de véhicules en Amérique du Nord, dont Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota.

Le système est conçu pour permettre une large gamme de services de sûreté, de sécurité et de commodité tels que la notification automatique d’accident, l’assistance routière améliorée, le déverrouillage des portes à distance, le démarrage du moteur à distance, l’assistance à la récupération de véhicule volé, la navigation pas à pas et l’intégration avec appareils intelligents pour la maison, entre autres.

La vulnérabilité concerne une faille d’autorisation dans un programme télématique qui permettait de récupérer les détails personnels d’une victime ainsi que d’exécuter des commandes sur les véhicules en envoyant une requête HTTP spécialement conçue contenant le numéro VIN à un point de terminaison SiriusXM (« telematics.net » ).

Dans un développement connexe, Curry a également détaillé une vulnérabilité distincte affectant les voitures Hyundai et Genesis qui pourraient être exploitées pour contrôler à distance les serrures, les moteurs, les phares et les coffres des véhicules fabriqués après 2012 en utilisant les adresses e-mail enregistrées.

Grâce à l’ingénierie inverse des applications MyHyundai et MyGenesis et à l’inspection du trafic API, les chercheurs ont trouvé un moyen de contourner l’étape de validation des e-mails et de prendre le contrôle à distance des fonctions d’une voiture cible.

« En ajoutant un caractère CRLF à la fin d’une adresse e-mail de victime déjà existante lors de l’inscription, nous pourrions créer un compte qui contournait la vérification de comparaison des paramètres JWT et e-mail », a expliqué Curry.

SiriuxXM et Hyundai ont depuis déployé des correctifs pour corriger les défauts.

Les conclusions surviennent alors que Sandia National Laboratories a résumé un certain nombre de failles connues dans l’infrastructure de recharge des véhicules électriques (VE), qui pourraient être exploitées pour écrémer les données des cartes de crédit, modifier les prix et même détourner tout un réseau de chargeurs de VE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *