Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Voitures connectées : la prochaine cible des hackers ?

septembre 2014 par Kaspersky Lab

Kaspersky Lab et IAB annoncent le lancement de la première étude annuelle consacrée aux voitures connectées, une enquête pionnière dans ce domaine.

Cette étude a pour objectif de dresser un panorama du marché des voitures connectées, en rassemblant toutes les informations disponibles et de tenter d’unifier l’écosystème logiciel extrêmement fragmenté aujourd’hui proposé par les constructeurs. Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab, s’est vu confier l’élaboration d’un POC (Proof of Concept) destiné à analyser les conséquences, en termes de sécurité, de la connexion de ces véhicules à Internet.

Sécurité des voitures connectées : quelles conséquences en cas de faille ?

Les automobilistes ne peuvent plus ignorer les préoccupations de sécurité qui entourent les communications et les services Internet embarqués dans la nouvelle génération de « voitures connectées ». Cela va bien au-delà d’une assistance aux manœuvres de stationnement : il est désormais possible d’accéder aux réseaux sociaux, de consulter ses e-mails, de connecter son smartphone, de calculer son itinéraire… entre autres applications. Si ces technologies offrent de grands avantages aux conducteurs, elles s’accompagnent également de nouveaux risques pour leurs utilisateurs. C’est pourquoi il est essentiel d’analyser les différents vecteurs qui pourraient servir à des cyberattaques, causer des accidents, voire entraîner un entretien frauduleux du véhicule.

La vie privée, les mises à jour des logiciels et les applications embarquées pour smartphones sont potentiellement trois vecteurs d’attaque distincts pour les cybercriminels. « Les véhicules connectés peuvent ouvrir la voie à des menaces qui existent depuis longtemps dans le monde des ordinateurs et des smartphones. Par exemple, le propriétaire d’une voiture connectée pourrait voir son mot de passe volé. Cela permettrait au voleur de localiser le véhicule et d’en déverrouiller les portières à distance. Les enjeux de vie privée sont cruciaux et les automobilistes doivent aujourd’hui être conscients de l’apparition de risques inédits », souligne Vicente Diaz.

La preuve de concept de Kaspersky Lab, reposant sur l’analyse du système ConnectedDrive de BMW a permis de découvrir plusieurs vecteurs potentiels d’attaque :

- Vol d’identifiants : le vol des identifiants d’accès au site Web de BMW – au moyen de techniques courantes telles que le phishing, les enregistreurs de frappe clavier (keyloggers) ou le social engineering – pourrait permettre à un tiers d’accéder sans autorisation aux informations de l’utilisateur puis au véhicule lui-même. Il est dès lors possible d’installer une application mobile avec les mêmes identifiants et d’activer des services à distance avant d’ouvrir la voiture et de la voler.

- Application mobile : l’activation des services mobiles d’ouverture à distance revient à créer un double du jeu de clés de la voiture. Si l’application n’est pas sécurisée, il suffit de dérober le téléphone du propriétaire pour accéder à son véhicule. Avec un téléphone volé, il devient éventuellement possible de modifier les applications de base de données et de contourner toute authentification par code PIN, ce qui facilite l’activation de services à distance par une cyberattaque.

- Mises à jour : les logiciels pilotes Bluetooth sont mis à jour par téléchargement d’un fichier à partir du site de BMW et installation depuis une clé USB. Ce fichier, qui n’est ni crypté ni signé, contient de nombreuses informations sur les systèmes internes du véhicule. Un attaquant éventuel pourrait ainsi avoir accès à l’environnement ciblé mais aussi le modifier pour exécuter du code malveillant.

- Communications : certaines fonctions communiquent par SMS avec la carte SIM présente dans le véhicule. Un piratage de ce canal de communication permet d’envoyer de fausses instructions, en fonction du niveau de cryptage mis en place par l’opérateur téléphonique. Dans le pire des scénarios, un criminel pourrait remplacer les communications de BMW par ses propres instructions et services.

L’étude s’intéresse également aux accès en ligne et aux principales applications employées dans l’industrie automobile en Espagne, tout en explorant les modèles économiques et futures tendances du marché en matière de plates-formes de connectivité. L’analyse de 21 modèles différents de véhicules fait principalement ressortir les résultats suivants :
- Forte fragmentation des systèmes d’exploitation, modes de connexion et applications.
- Limitation dans le temps des services gratuits : de nombreux constructeurs propose un abonnement gratuit valable seulement pour une durée limitée.
- Problèmes de couverture : de nombreux services en ligne nécessitent la 3G.
- Volume de données : certains utilisateurs doivent payer au-delà d’un certain volume de données.
- Assistants vocaux : la plupart des modèles offrent cette technique, l’une des plus sécurisées pour le contrôle d’accès.

L’étude a été réalisée par IAB Espagne conjointement avec Applicantes, Motor.com et Kaspersky Lab.




Voir les articles précédents

    

Voir les articles suivants