Des chercheurs en sécurité ont découvert une faille de sécurité un peu ridicule avec la voiture Nissan LEAF et son application compagnon. Tout ce qu'il faut aux pirates pour accéder à certaines fonctions du véhicule est son identifiant, visible sur le pare-brise.

Le raz-de-marée des objets connectés touche toutes les catégories de produits, du thermomètre aux vêtements, en passant par les boîtes aux lettres. Les voitures n’échappent pas au phénomène et nombreux sont les modèles récents qui peuvent être contrôlés à distance via une application.

Mais en connectant les véhicules à Internet, les constructeurs les exposent aux risques de se faire pirater. C’est ainsi que l’an dernier, Fiat Chrysler avait dû rappeler plus d’un million de véhicules à la suite d’une brèche ouverte par son système UConnect.

L’attaquant n’a pas à être à proximité du véhicule pour en prendre le contrôle

La dernière vulnérabilité en date touche les Nissan LEAF qui utilisent l’application compagnon « NissanConnect EV app ». Sur son blog, le chercheur en sécurité Troy Hunt lève ainsi le voile sur la faille révélée par l’un de ses élèves.

Accès à des réglages secondaires, mais pas aux fonctions-clés de l’auto.

Hunt explique que l’attaquant n’a pas besoin d’être à proximité du véhicule pour en prendre le contrôle. Il lui suffit d’avoir accès au VIN (Vehicule Identification Number), un identifiant spécifique à chaque voiture qui peut être trouvé… sur le pare-brise de la Leaf ! Même sans cette information, le chercheur indique qu’il est possible de trouver aléatoirement des VIN grâce à l’API de Nissan. Il n’y aucune authentification, le système se basant exclusivement sur l’identifiant, sans mot de passe ou autre système de contrôle.

Cette vulnérabilité d’une simplicité à peine croyable permet aux hackers de s’amuser à distance avec la climatisation des véhicules, ou encore d’obtenir des informations sur la voiture, comme les trajets effectués.

Hunt se réjouit toutefois que la faille ne mette pas directement en danger la vie des conducteurs ou la sécurité de la voiture. «  La Nissan LEAF n’a pas, comme certains véhicules, de fonction d’ouverture ou de démarrage à distance, sinon, ce serait un véritable désastre avec ce qui vient d’être découvert », fait remarquer l’expert. Le chercheur ajoute cependant que la brèche pourrait servir à vider la batterie d’une voiture ou encore à obtenir les habitudes de trajets d’un conducteur, ce qui le met indirectement en danger.

Nissan n’a pas corrigé la faille

Hunt a réalisé une vidéo avec Scott Helme, un chercheur qui dispose lui aussi d’une Nissan LEAF. Alors que Hunt est en Australie, il arrive à activer à distance la climatisation de l’automobile de Helme qui se trouve lui en Angleterre, en entrant une simple requête dans son navigateur.

Loin d’être aussi dramatique que celle qui touchait le système UConnect, la vulnérabilité rappelle que la sécurité des systèmes de communication embarqués dans les automobiles est un enjeu de taille. Alors que l’on parle de plus en plus d’autonomie des véhicules, on imagine facilement les conséquences catastrophiques qui pourraient résulter de la prise de contrôle d’un véhicule par une personne malintentionnée.

Prévenu par le chercheur, Nissan n’a pas corrigé la faille. Un mois après, Hunt a donc décidé de publier sa découverte publiquement et a conseillé aux propriétaires de LEAF de désactiver les fonctionnalités de contrôle à distance du véhicule.

Un porte-parole de Nissan explique à Motherboard que la marque se penche actuellement sur la question, mais que la vulnérabilité « n’a aucune conséquence sur le contrôle et la sécurité du véhicule ». Et celle des passagers qui peuvent être fliqués à distance ?

Partager sur les réseaux sociaux

Articles liés