Rechercher

Anti-Démarreur : Ce Hacker Qui (De)Verrouille 25 000 Voitures  En Un Clic

anti-démarreur
GettyImages

Chaque jour, des millions d’entre nous comptent sur la technologie pour protéger nos véhicules des voleurs. L’anti-démarreur, par exemple, s’assure que seul le propriétaire du bon porte-clefs a la capacité de démarrer le véhicule.

Mais aujourd’hui, cette technologie est devenue une menace pour la sécurité, après que des hackers ont révélé à Forbes qu’ils étaient capables de verrouiller jusqu’à 25 000 voitures simultanément. Tout cela grâce à une vulnérabilité (maintenant corrigée) qui rendait effroyablement simple la prise de contrôle à distance de l’anti-démarreur d’une automobile pour empêcher des conducteurs de démarrer leur véhicule.

Votre anti-démarreur est censé être utilisé à bon escient. Si un malfrat vous vole votre voiture, il vous est possible de vous connecter à l’anti-démarreur, qui localise votre véhicule et vous permet d’empêcher quiconque de démarrer le moteur. Mais chez un anti-démarreur en particulier – l’outil SmarTrack du Britannique Global Telemetrics – une vulnérabilité au hacking a facilité la tâche des chercheurs de Pen Test Partners qui tentaient d’activer l’anti-démarreur de façon permanente, sans que le client n’en sache rien.

Afin de prouver que cela était possible, les chercheurs de l’entreprise de cyber-sécurité britannique Pen Test Partners ont hacké le véhicule de l’un de leurs propres employés, désactivant sa voiture depuis le Royaume-Uni alors qu’il se trouvait en Grèce, peu de temps avant qu’il dût se rendre à un mariage.

« Nous possédons votre anti-démarreur »

Ken Muro, chercheur en cyber-sécurité et associé à Pen Test Partners, a dévoilé le hack à Forbes en exclusivité à la convention DEF CON de Las Vegas.

Il s’est rendu compte qu’il était possible d’activer l’anti-démarreur et de désactiver le véhicule en envoyant une simple requête via un navigateur. Une fois qu’il eut entré la commande, cela a pris moins d’une seconde à l’anti-démarreur pour être déclenché. C’était comme si Munro était l’un des employés du centre d’appels de SmarTrack étant autorisés à activer l’anti-démarreur. Les systèmes de SmarTrack ne vérifiaient simplement pas correctement que les commandes étaient envoyées par un utilisateur autorisé, a expliqué Munro.

Ken Munro a averti qu’il serait impossible pour quiconque de faire redémarrer la voiture avec l’anti-démarreur enclenché. La seule option serait de retirer la technologie entièrement, a-t-il ajouté. « Nous contrôlons à présent l’anti-démarreur, nous sommes donc les seuls à pouvoir débloquer le véhicule ».

En outre, si le hacker activait l’anti-démarreur alors que la voiture était en mouvement, cela empêcherait tout simplement le véhicule de fonctionner dès que le moteur s’arrêterait. Comme l’a fait remarquer Ken Munro, cela serait « plutôt déplaisant » dans le cas d’une voiture possédant la fonction start-and-stop (cette fonctionnalité se retrouve dans beaucoup de modèles récents, afin de diminuer les émissions de CO2 en cas de circulation dense).

Munro a également critiqué Thatcham Research, l’entité industrielle qui avait donné le feu vert aux dispositifs de SmarTrack, indiquant qu’ils étaient sans risque. « Les gens achètent ces dispositifs en pensant que l’accréditation signifie quoi que ce soit. Nous avons ici la preuve que, dans certains cas, intégrer un traqueur de vol à votre véhicule le rend plus vulnérable ».

Thatcham Research a indiqué accréditer les produits de sécurité sous condition du respect d’un ensemble minimum de critères, dont une alarme et une fonctionnalité d’identification du conducteur. « Le processus inclut également une simulation d’attaque lors de laquelle le système du véhicule doit résister à une désactivation physique pendant deux minutes », a ajouté le porte-parole de l’entité. « Nous ne testons pas, cependant, la sécurité du système du véhicule, ou de son écosystème environnant ».

Des solutions disponibles

Heureusement pour les clients de SmarTrack, les failles ont depuis été abordées. « Toutes les vulnérabilités potentielles ont maintenant été résolues », a déclaré un porte-parole de Global Telemetrics. « Nos clients peuvent être assurés qu’aucun mot de passe ou détail personnel n’a été compromis par ce processus, et qu’il n’y a aucune inquiétude à avoir vis-à-vis de la sécurité de tous nos produits.

 « La sécurité a toujours été et restera d’une importance primordiale pour nous et, résultant de notre prise de contact avec Pen Test Partners, nous avons à présent réévalué notre projet actuel d’amélioration de la sécurité, afin de nous assurer que nous demeurons leaders du marché en matière de sécurité ».  

Afin de résoudre ces problèmes, Global Telemetrics a introduit dans l’équation un cabinet de conseils en cyber-sécurité, Hedgehog Security. Peter Bassill, fondateur de Hedgehog, a confirmé que ce que Ken Munro a déclaré avoir découvert était exact. Au sujet de la capacité de verrouiller 25 000 voitures simultanément, Bassill a indiqué : « C’est l’une de ces assertions que font les chercheurs en sécurité… Mais il ne fait aucun doute qu’une telle chose aurait pu se produire… Cela aurait certainement pris plus de temps qu’une ligne de code, mais cela aurait sans doute été possible ».

Peter Bassill a expliqué que les vulnérabilités étaient probablement le fait de développeurs ayant écrit le code sans porter assez d’attention à la sécurité. Mais Bassill travaille depuis quelques temps avec de nouveaux développeurs de l’équipe de SmarTrack afin de patcher ces vulnérabilités et de mettre en place des processus visant à s’assurer que les problèmes soient rapidement résolus à l’avenir.

Cependant, comme le font remarquer Bassill et Munro, de nombreux anti-démarreurs sont utilisés dans des millions de véhicules du monde entier. Étant donné que de nombreux dispositifs semblables contiennent potentiellement des failles de sécurité, un objet du quotidien que nous utilisons sans y penser pourrait bien vite devenir l’arme dernier cri dans l’arsenal d’un hacker.

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC