Les véhicules Honda des 10 dernières années victimes d'une faille permettant de les ouvrir... et de les démarrer

12 juillet 2022 à 15h50
10
carkey
© Brett Jordan / Pexels

Le système de déverrouillage à distance de Honda est mis en difficulté : des chercheurs en sécurité ont trouvé un moyen de déverrouiller et de démarrer les véhicules à distance.

Tous les véhicules Honda construits entre 2012 et 2022 pourraient être concernés par cette vulnérabilité.

Une faille inquiétante pour vos véhicules Honda

La vulnérabilité s'appelle Rolling PWN : en utilisant du matériel radio, on enregistre un signal original provenant d'une vraie clé de voiture, puis on le diffuse vers un véhicule voiture - une attaque par rejeu. Cette méthode d'intrusion est généralement anticipée par les constructeurs. Ces derniers créent des clés de voiture qui émettent un signal unique à chaque verrouillage et déverrouillage, et le même signal ne fonctionne pas à répétition.

Sauf que visiblement, ce système n'a pas été mis en place sur toutes les Honda, notamment les Honda Civic de 2016 à 2020. En effet, certaines clés utilisent un signal non chiffré et qui ne change pas, donc facile à dupliquer. Un tel signal peut être « enregistré » à 30 mètres de distance.

En outre, d'autres modèles Honda mieux protégés sont eux aussi vulnérables. Même avec des clés à signal unique, les chercheurs ont réussi à déverrouiller les véhicules. Cette dernière faille est légèrement plus complexe.

La réponse de Honda

La faille permettant de contourner le signal à usage unique est basée sur une resynchronisation de la base de données de signaux de la voiture. La faille s'appuie sur une fenêtre de tolérance de la base de données qui permet d'accepter des signaux qui n'arrivent pas dans l'ordre chronologique, au cas où l'utilisateur déverrouille la voiture deux fois, ou se trouverait trop loin du véhicule. Il suffit alors de répliquer une séquence de quatre signaux uniques, dans l'ordre, pour confondre le système de déverrouillage et ouvrir la voiture. Du moins, c'est ce que montre la vidéo postée par Rob Stumpf, qui a réussi à déverrouiller et à démarrer sa voiture depuis un équipement radio.

Honda a nié l'existence de cette vulnérabilité, disant que des rapports similaires avaient été présentés sans preuve suffisante. Le rapport ne leur parait pas « crédible » et le constructeur a simplement demandé aux chercheurs de contacter le service client.

Source : The Verge

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
10
phoenix2
Merci pour l’info 10 ans après !!!
eykxas
ça parait gros quand même… Si il y avait vraiment une faille de ce type aussi simple à mettre en œuvre, les vols de Honda auraient grimpé en flèche et la marque aurait été obligé de réagir.
loupton
une faille ou une backdoor ?
Baxter_X
Un article à propos de ce problème était déja sorti fin Mars sur l’excellent blog TheHackerNews:<br /> The Hacker News<br /> Honda’s Keyless Access Bug Could Let Thieves Remotely Unlock and Start Vehicles<br /> The Remote keyless system in Honda vehicles could allow thieves to remotely unlock and start them<br />
Baxter_X
Une faille clairement!<br /> Pourquoi mettre au point une porte dérobée? Dans quel but?
mcbenny
Une porte dérobée ? Sur une voiture ? La trappe à essence tu veux dire ?
Niils
pour une voiture, on appelle ça le coffre &lt;:o)
Petinikola
Nous sommes en 2022, les constructeurs et autres multinationales auraient-elles la modestie de prendre en compte les recherches extérieures, notamment en sécurité ? Non bien sûr, cela leur demanderaient trop d’introspection et un peu de moyens financiers…
SPH
Rappeler 10 ans de fabrication de véhicules, ça n’est pas simple non plus.<br /> Et puis, il faudrait prouver devant témoins que l’on peux effectivement ouvrir les voitures avec un signal pirate…
ypapanoel
A une époque on pouvait ouvrir une voiture juste avec un cintre. Ca a pas fait autant de foin…
Voir tous les messages sur le forum

Derniers actualités

La mémoire Micron GDDR6X à 24 Gbps entre en production de masse
La DDR5-6000
Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Google veut faire de votre TV votre coach sportif
Taïwan a subi un pic de cybermenaces en marge de la visite de l'Américaine Nancy Pelosi
Ce vidéoprojecteur sera parfait pour vos soirées d'été !
Samsung annonce les Galaxy Watch 5 et ses Gala Buds 2 Pro
Haut de page