Une équipe de hackers éthiques s’est penchée sur les vulnérabilités dans les systèmes informatiques de plusieurs marques de véhicules. Ils sont parvenus à ouvrir de nombreux modèles à distance, à partir d’un numéro d’identification propre à chaque automobile.

La question n’est plus comment, mais quand va-t-on assister au premier piratage criminel d’un véhicule. Pour l’instant, seuls des hackers éthiques partagent leur réussite, mais leurs exploits deviennent de plus en plus impressionnants. Ce 30 novembre 2022, Sam Curry, un expert dans les failles, a détaillé sur Twitter une opération de piratage réussie sur plusieurs marques de véhicules.

Accompagné d’une équipe de hackers, il est parvenu à entrer dans le système informatique et ouvrir les portes de nombreux modèles de Hyundai, Nissan, Honda, Infiniti et Acura. « Nous avons vraiment aimé l’idée de marcher dans un parking et de pouvoir scanner les numéros VIN — un numéro d’identification propre à chaque véhicule — pour déverrouiller les voitures », nous lance Sam.

Pour commencer, l’équipe s’est d’abord attaquée à deux applications du groupe Hyundai. Les hackers ont travaillé sur les vulnérabilités dans l’accès au compte et sont parvenus à récupérer les infos avec l’adresse mail d’une victime. « Il y avait une vulnérabilité de validation d’entrée qui nous a permis d’accéder à n’importe quel compte en utilisant seulement leur adresse e-mail. Cela nous a permis de suivre et d’effectuer des actions à distance sur leur véhicule (s’il a été fabriqué après 2012) et d’accéder à leur compte utilisateur », explique Sam Curry à Numerama. L’opération a été filmée, et l’on peut voir dans une vidéo le véhicule se déverrouiller une fois le signal envoyé aux serveurs.

Sam précise que l’expérience a été menée dans le cadre d’un programme coordonné de divulgation des vulnérabilités. Le groupe a accordé l’entière permission pour tester et divulguer cette faille.

Une faille dans l’opérateur réseau

Satisfait de la réussite de cette première opération, le groupe de hacker a décidé d’aller plus loin. « Lorsque nous avons découvert la vulnérabilité de l’email, nous avons pensé : c’est cool, mais ce serait tellement plus amusant si nous pouvions cibler une voiture en utilisant uniquement son numéro d’identification. Cela nous a poussé à regarder plus profondément chez SiriusXM », nous raconte le spécialiste des vulnérabilités. Sirus XM est un opérateur américain de radio par satellite qui se charge aussi de la télématique dans les véhicules. Concrètement, cette entreprise gère les boitiers enregistrant toutes les données du véhicule, notamment le GPS, la vitesse ou encore la quantité de carburant.

Ce type d'opération laisse supposer qu'un groupe pour s'attaquer à une flotte entière. // Source : Obi / Unsplash
Ce type d’opération laisse supposer qu’un groupe de hackers peut s’attaquer à une flotte entière. // Source : Obi / Unsplash

Chaque automobile est identifiable grâce à un numéro d’identification. Cette longue série de chiffres est aussi ce qui permet au satellite de reconnaitre une voiture d’une autre. En fouillant dans les applications, les hackers ont trouvé ces fameux numéros et les ont utilisés comme moyen de connexion. Bingo ! Le code étant relié aux identifiants, Sam et son équipe sont parvenus une nouvelle fois à accéder aux informations de l’utilisateur et à prendre le contrôle de son auto. Des véhicules Honda, Nissan, Acura, et Infiniti ont été attaqués par les hackers, mais les modèles ne sont pas précisés.

« L’attaquant peut se trouver à l’autre bout du monde »

« Vous pouvez le déverrouiller de n’importe où. Vous pouvez aussi démarrer le moteur, allumer les phares, klaxonner et localiser le véhicule. L’attaquant peut se trouver à l’autre bout du monde, pour autant qu’il dispose d’une connexion Internet et que le véhicule cible ait du réseau », indique Sam Curry. Cette dernière déclaration est d’autant plus effrayante que les dernières opérations pour déverrouiller un véhicule se faisaient dans un rayon proche de celui-ci. Un youtubeur avait, par exemple, réussi à reproduire le signal Bluetooth pour ouvrir une Tesla.

Cette fois, il n’y a pas de limite de distance. L’opération est certes réalisée par des experts en la matière, mais avec les ressources nécessaires, un groupe qualifié peut également s’intéresser à ces failles. Dans ce contexte, les piratages comme celui mené par l’équipe de Sam sont essentiels pour découvrir les failles avant que les criminels se lassent des administrations sans argent ou des PME mal protégées. Pire, qu’adviendrait-il si des pirates à la solde d’un État venaient à prendre le contrôle d’un véhicule diplomatique ? Le virage vers le véhicule connecté sera aussi une course des experts en cybersécurité contre les hackers pour contrecarrer le pire scénario. Rappelons qu’aucun système n’est infaillible.


Aidez-nous à construire l’avenir de Numerama en répondant à cette enquête !