Des chercheurs en sécurité ont découvert une faille de sécurité un peu ridicule avec la voiture Nissan LEAF et son application compagnon. Tout ce qu’il faut aux pirates pour accéder à certaines fonctions du véhicule est son identifiant, visible sur le pare-brise.

Le raz-de-marée des objets connectés touche toutes les catégories de produits, du thermomètre aux vêtements, en passant par les boîtes aux lettres. Les voitures n’échappent pas au phénomène et nombreux sont les modèles récents qui peuvent être contrôlés à distance via une application.

Mais en connectant les véhicules à Internet, les constructeurs les exposent aux risques de se faire pirater. C’est ainsi que l’an dernier, Fiat Chrysler avait dû rappeler plus d’un million de véhicules à la suite d’une brèche ouverte par son système UConnect.

L’attaquant n’a pas à être à proximité du véhicule pour en prendre le contrôle

La dernière vulnérabilité en date touche les Nissan LEAF qui utilisent l’application compagnon « NissanConnect EV app ». Sur son blog, le chercheur en sécurité Troy Hunt lève ainsi le voile sur la faille révélée par l’un de ses élèves.

[floating-quote float= »right »]Accès à des réglages secondaires, mais pas aux fonctions-clés de l’auto.[/quote]

Hunt explique que l’attaquant n’a pas besoin d’être à proximité du véhicule pour en prendre le contrôle. Il lui suffit d’avoir accès au VIN (Vehicule Identification Number), un identifiant spécifique à chaque voiture qui peut être trouvé… sur le pare-brise de la Leaf ! Même sans cette information, le chercheur indique qu’il est possible de trouver aléatoirement des VIN grâce à l’API de Nissan. Il n’y aucune authentification, le système se basant exclusivement sur l’identifiant, sans mot de passe ou autre système de contrôle.

Cette vulnérabilité d’une simplicité à peine croyable permet aux hackers de s’amuser à distance avec la climatisation des véhicules, ou encore d’obtenir des informations sur la voiture, comme les trajets effectués.

Hunt se réjouit toutefois que la faille ne mette pas directement en danger la vie des conducteurs ou la sécurité de la voiture. « La Nissan LEAF n’a pas, comme certains véhicules, de fonction d’ouverture ou de démarrage à distance, sinon, ce serait un véritable désastre avec ce qui vient d’être découvert », fait remarquer l’expert. Le chercheur ajoute cependant que la brèche pourrait servir à vider la batterie d’une voiture ou encore à obtenir les habitudes de trajets d’un conducteur, ce qui le met indirectement en danger.

Nissan n’a pas corrigé la faille

Hunt a réalisé une vidéo avec Scott Helme, un chercheur qui dispose lui aussi d’une Nissan LEAF. Alors que Hunt est en Australie, il arrive à activer à distance la climatisation de l’automobile de Helme qui se trouve lui en Angleterre, en entrant une simple requête dans son navigateur.

Loin d’être aussi dramatique que celle qui touchait le système UConnect, la vulnérabilité rappelle que la sécurité des systèmes de communication embarqués dans les automobiles est un enjeu de taille. Alors que l’on parle de plus en plus d’autonomie des véhicules, on imagine facilement les conséquences catastrophiques qui pourraient résulter de la prise de contrôle d’un véhicule par une personne malintentionnée.

Prévenu par le chercheur, Nissan n’a pas corrigé la faille. Un mois après, Hunt a donc décidé de publier sa découverte publiquement et a conseillé aux propriétaires de LEAF de désactiver les fonctionnalités de contrôle à distance du véhicule.

Un porte-parole de Nissan explique à Motherboard que la marque se penche actuellement sur la question, mais que la vulnérabilité « n’a aucune conséquence sur le contrôle et la sécurité du véhicule ». Et celle des passagers qui peuvent être fliqués à distance ?

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !