Auto : une faille majeure dans deux systèmes d'alarme permettait... de couper le moteur

3
voiture vitesse

L'entreprise de cybersécurité Pen Test Partners a mis au jour une faille majeure découverte dans les systèmes d'alarme automobiles Viper et Pandora. En cause : une vulnérabilité au niveau de l'API.

Une faille qui fait tâche. Viper et Pandora, spécialisée dans les systèmes d'alarme automobiles, ont découvert à leur dépens la présence d'une vulnérabilité au sein de leur boîtier, installé dans plus de trois millions de voitures à travers le monde. Boîtier grâce auquel les utilisateurs ont accès à des fonctionnalités diverses, comme la géolocalisation de leur automobile et le déverrouillage des portes à distance.

Un procédé simple et efficace

Pen Test Partners, qui a fait de la cybersécurité son fer de lance, a ainsi découvert une brèche informatique nichée au niveau de l'API, incapable de reconnaître une requête non autorisée. De ce fait, les « hackers » ont tout bonnement lancé une procédure de réinitialisation de mot de passe à renvoyer sur une adresse email indiquée, pour se connecter ensuite sur le compte utilisateur de la cible.

Les chercheurs informatiques ont ensuite pu effectuer toute une série de manœuvres, comme la prise de contrôle de l'application d'alarme intelligente à distance, le tracking du véhicule en temps réel, l'activation de l'alarme, le déverrouillage des portes et même l'arrêt du moteur. Découverte en octobre 2018, cette anomalie a depuis été corrigée par les deux compagnies concernées.

La faille réparée

« Après investigations, nous avons conclu que cette vulnérabilité correspond à un résultat non-intentionnel d'une récente mise à jour de notre système effectuée par notre fournisseur de services », a de son côté déclaré Viper.

Pen Test Partners a aussi décelé une autre faille sur les alarmes intelligentes du Britannique Clifford, elle aussi réparée depuis, selon la BBC.



Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
0
Voir tous les messages sur le forum

Actualités du moment

Toshiba et Western Digital préparent des puces NAND 3D à 128 couches !
La nouvelle manette Xbox One Phantom White fuite (et elle est pas mal du tout)
800 millions d'emails s'échappent d'une base de données... non surveillée
Le réseau interne de Citrix infiltré par des
Sur le Microsoft Store, les développeurs pourront récupérer jusqu'à 95% des revenus
Porsche équipera ses véhicules électriques de batteries nouvelle génération dès 2020
RGPD : la CNIL propose une formation en ligne accessible à tous
Le World Wide Web a 30 ans aujourd'hui, pas Internet !
L'UFC-Que choisir lance une action contre Free et ses frais à la restitution de mobile
Google+, Inbox, Goo.gl et Allo : ces services qui s'arrêtent dans les jours à venir
Haut de page