Des chercheurs en sécurité ont mis au jour des failles critiques dans les systèmes de Kia. Elles peuvent permettre de contrôler plusieurs fonctions clés d’une voiture à distance, à l’insu du propriétaire des véhicules…
Des chercheurs en sécurité ont déniché une série de failles critiques dans le portail des concessionnaires de Kia, le constructeur automobile sud-coréen. Comme l’explique Sam Curry, l’un des chercheurs à l’origine de la découverte, ces vulnérabilités pourraient permettre de « prendre le contrôle à distance des fonctions clés » de millions de véhicules.
Par exemple, les brèches permettent de localiser, de suivre à la trace et de pirater toutes les voitures Kia fabriquées après 2013. Pour mener à bien l’opération, un attaquant n’a besoin que d’une plaque d’immatriculation. Les pirates n’ont même pas besoin de passer par Kia Connect, le service connecté proposé par Kia, qui permet aux conducteurs de contrôler et de surveiller leur véhicule à distance via une application mobile.
En effet, les voitures qui n’ont pas d’abonnement Kia Connect actif sont aussi concernées. L’attaque ne prend pas plus de 30 secondes. Avec l’outil mis au point par les chercheurs, un attaquant peut rapidement contrôler à distance la voiture, la verrouiller ou la déverrouiller, la démarrer ou l’arrêter, activer le klaxon ou encore localiser le véhicule. C’est évidemment du pain béni pour les voleurs de voitures…ou d’autres individus malveillants.
« Si quelqu’un vous coupait la route dans la circulation, vous pourriez scanner sa plaque d’immatriculation, puis savoir où il se trouve et entrer par effraction dans sa voiture », explique Sam Curry, estimant que les failles ouvrent la porte à des tentatives de traque et d’espionnage.
Des failles dans un portail web
Les pirates peuvent exfiltrer une montagne de données personnelles sur les propriétaires d’une voiture Kia, comme leur nom, leur numéro de téléphone, leur adresse e-mail et leur adresse postale. Grâce à ces données, un hacker peut s’enregistrer en tant que second propriétaire sur les voitures affectées.
Pour mener à bien l’attaque, les chercheurs ont d’abord créé un compte sur le portail réservé aux concessionnaires de Kia. Une fois dans le système, ils ont généré un jeton d’accès. Il s’agit d’une sorte de clé numérique qui permet à un utilisateur de prouver son identité. Celui-ci a permis d’accéder aux API (interfaces de programmation d’applications) du système de Kia. In fine, ils ont pu obtenir un accès à des informations clés sur les propriétaires de véhicules, et aux fonctions de contrôle à distance des voitures.
En fait, les systèmes de Kia souffraient d’une faille laissant n’importe quel attaquant générer un jeton d’accès qui permet de se faire passer pour un revendeur. Il suffisait ensuite d’être considéré comme un concessionnaire par le système pour accéder aux données sensibles des propriétaires et changer les autorisations d’accès des conducteurs. En ajoutant leur propre adresse mail, ils peuvent ensuite entrer le VIN (numéro d’identification unique du véhicule). Ce numéro est un code spécifique à chaque véhicule.
Via l’API, ils obtiennent ensuite la possibilité de contrôler leur véhicule, sans que le véritable propriétaire soit au courant. Comme l’expliquent les chercheurs, Kia ne prend pas la peine de prévenir les utilisateurs d’un nouvel accès par le biais d’une notification. Alerté par les chercheurs, Kia n’a pas tardé à corriger les vulnérabilités de son portail. Il n’est donc plus possible d’exploiter les failles pour prendre le contrôle des voitures à distance. Par ailleurs, le groupe sud-coréen souligne que les brèches n’ont jamais été exploitées par des cybercriminels.
Une sécurité trop faible
Ce n’est pas la première fois que des failles de sécurité mettent en danger les voitures de certaines marques. Comme le rappellent nos confrères de Wired, des hackers avaient trouvé le moyen de prendre le contrôle à distance d’une Chevrolet Impala en 2010 ou d’une Jeep en 2015. Ces méthodes de piratage avaient été mises au point pendant des années avant d’être considérées comme fiables et efficaces. Pour arriver à leurs fins, les chercheurs avaient analysé et décrypté le code complexe utilisé dans les systèmes télématiques des voitures et conçus des malwares dédiés. A contrario, il a suffi de compromettre un simple site web pour pirater les voitures de Kia, note le média.
Par ailleurs, des bugs similaires à ceux du portail Kia ont auparavant été découverts dans les systèmes d’Acura, Genesis, Honda, Hyundai, Infiniti, ou encore Toyota. Ces failles ont été corrigées. Pour Neiko Rivera, l’un des chercheurs derrière la découverte des bugs de Kia, il est « évident que la sécurité Web des véhicules est très faible ». En théorie, toutes les voitures reliées à Internet sont susceptibles d’être compromises par des cybercriminels.
source: 01net