Voitures connectées : du vol sans effraction aux antivirus embarqués

09 juin 2016 à 14h39
0
Hasard du calendrier ? Une semaine après la découverte d'une faille de sécurité sur un Mitsubishi Outlander connecté, l'éditeur de l'antivirus Norton, Symantec, annonce une solution de sécurité pour l'automobile.

Voler un Mitsubishi sans effraction, grâce au Wi-Fi

Le Mitsubishi Outlander PHEV est, comme la plupart des véhicules rechargeables, connecté. Il dispose effectivement d'une application mobile permettant de paramétrer et de surveiller la charge, et d'acclimater l'habitacle tant qu'il est branché, plutôt qu'en puisant sur les batteries. Il est par conséquent plus vulnérable à une attaque informatique, puisqu'on peut agir à distance, parfois sans s'introduire par effraction à l'intérieur du véhicule.

0230000008467380-photo-2017-mitsubishi-outlander-phev.jpg

Les chercheurs en sécurité du cabinet britannique Pen Test Partners l'ont récemment démontré. En l'occurrence le Mitsubishi Outlander n'est pas connecté à internet par GSM, mais il embarque un point d'accès Wi-Fi, auquel on connecte son téléphone afin d'utiliser l'application dédiée.

En utilisant les techniques habituelles d'interception et d'usurpation, les chercheurs sont parvenus sans difficulté à se connecter au Wi-Fi d'une voiture, puis à reproduire les commandes permettant de désactiver l'alarme anti-intrusion. Il ne reste plus qu'à forcer une vitre et à déverrouiller la voiture depuis l'intérieur pour s'introduire sans déclencher l'alarme. On a alors accès à la prise diagnostic OBD embarquée, avec laquelle on peut potentiellement démarrer le moteur voire programmer sa propre clé.

Pen Test Partners précise que ses tentatives de révéler la faille au constructeur ont d'abord été « accueillies avec désintérêt ». Il aura fallu le concours de la BBC pour attirer leur attention. Mitsubishi travaille désormais à un correctif. Il faut dire que les chercheurs ont prévenu qu'ils divulgueraient prochainement la faille. Ils proposent entre temps un moyen de s'en prémunir, en désactivant le Wi-Fi et donc la commande à distance.

Précédemment :
BMW : une faille comblée par mise à jour OTA
Une faille chez Tesla permet d'ouvrir un véhicule à distance


Symantec lance une intelligence artificielle anti-intrusion

Dans la foulée, le leader mondial de la cyber-sécurité auto-proclamé annonce le lancement d'une solution permettant de protéger les véhicules connectés des attaques Zero Day. Symantec Anomaly Detection for Automotive s'appuie effectivement sur le machine learning pour détecter toute activité anormale dans les systèmes embarqués d'une voiture. Surveillant en permanence le trafic sur le bus CAN, avec une utilisation minimale de la mémoire et de la puissance de traitement nous promet-on, le système peut ainsi détecter des attaques qui exploitent des failles qui ne sont pas encore connues.

En tout cas les constructeurs devront se montrer proactifs s'ils veulent lever les craintes d'une part non négligeable des consommateurs. En l'occurrence Mitsubishi ne montre par exemple, contrairement à BMW ou à Tesla avant lui.

À lire aussi : McAfee se penche sur la sécurité des systèmes embarqués pour automobiles

03E8000008467382-photo-mitsubishi-outlander-phev-h4ck-m3-de-pen-test-partners.jpg
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La Lucid Air surpasse la Tesla Model S avec une autonomie annoncée supérieure à 800 km
Nvidia : la RTX 3080 déclinée en trois modèles se confirme et arriverait dès septembre
Delage dévoile un hypercar hybride à 2,3 millions de dollars
Hyperion dévoile une supercar à hydrogène dotée d'une autonomie de 1 600 km
Le processeur Kunpeng 920 d'Huawei rattraperait le Core i9-9900K d'Intel
Microsoft lancera son smartphone Surface Duo le 10 septembre à 1 399 $
En Allemagne, les ventes de véhicules électriques ont explosé en juillet
Google rejoint Apple et bannit Fortnite du Play Store Android
Horizon Zero Dawn : le portage PC critiqué pour ses nombreux bugs
Xiaomi Mi 10 Ultra : une édition anniversaire qui veut
scroll top