Voitures connectées : du vol sans effraction aux antivirus embarqués

09 juin 2016 à 14h39
0
Hasard du calendrier ? Une semaine après la découverte d'une faille de sécurité sur un Mitsubishi Outlander connecté, l'éditeur de l'antivirus Norton, Symantec, annonce une solution de sécurité pour l'automobile.

Voler un Mitsubishi sans effraction, grâce au Wi-Fi



Le Mitsubishi Outlander PHEV est, comme la plupart des véhicules rechargeables, connecté. Il dispose effectivement d'une application mobile permettant de paramétrer et de surveiller la charge, et d'acclimater l'habitacle tant qu'il est branché, plutôt qu'en puisant sur les batteries. Il est par conséquent plus vulnérable à une attaque informatique, puisqu'on peut agir à distance, parfois sans s'introduire par effraction à l'intérieur du véhicule.

0230000008467380-photo-2017-mitsubishi-outlander-phev.jpg

Les chercheurs en sécurité du cabinet britannique Pen Test Partners l'ont récemment démontré. En l'occurrence le Mitsubishi Outlander n'est pas connecté à internet par GSM, mais il embarque un point d'accès Wi-Fi, auquel on connecte son téléphone afin d'utiliser l'application dédiée.

En utilisant les techniques habituelles d'interception et d'usurpation, les chercheurs sont parvenus sans difficulté à se connecter au Wi-Fi d'une voiture, puis à reproduire les commandes permettant de désactiver l'alarme anti-intrusion. Il ne reste plus qu'à forcer une vitre et à déverrouiller la voiture depuis l'intérieur pour s'introduire sans déclencher l'alarme. On a alors accès à la prise diagnostic OBD embarquée, avec laquelle on peut potentiellement démarrer le moteur voire programmer sa propre clé.

Pen Test Partners précise que ses tentatives de révéler la faille au constructeur ont d'abord été « accueillies avec désintérêt ». Il aura fallu le concours de la BBC pour attirer leur attention. Mitsubishi travaille désormais à un correctif. Il faut dire que les chercheurs ont prévenu qu'ils divulgueraient prochainement la faille. Ils proposent entre temps un moyen de s'en prémunir, en désactivant le Wi-Fi et donc la commande à distance.

Précédemment :
BMW : une faille comblée par mise à jour OTA
Une faille chez Tesla permet d'ouvrir un véhicule à distance


Symantec lance une intelligence artificielle anti-intrusion



Dans la foulée, le leader mondial de la cyber-sécurité auto-proclamé annonce le lancement d'une solution permettant de protéger les véhicules connectés des attaques Zero Day. Symantec Anomaly Detection for Automotive s'appuie effectivement sur le machine learning pour détecter toute activité anormale dans les systèmes embarqués d'une voiture. Surveillant en permanence le trafic sur le bus CAN, avec une utilisation minimale de la mémoire et de la puissance de traitement nous promet-on, le système peut ainsi détecter des attaques qui exploitent des failles qui ne sont pas encore connues.

En tout cas les constructeurs devront se montrer proactifs s'ils veulent lever les craintes d'une part non négligeable des consommateurs. En l'occurrence Mitsubishi ne montre par exemple, contrairement à BMW ou à Tesla avant lui.

À lire aussi : McAfee se penche sur la sécurité des systèmes embarqués pour automobiles

03E8000008467382-photo-mitsubishi-outlander-phev-h4ck-m3-de-pen-test-partners.jpg
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Linky : pour l'ANFR, les Equipements Radio des compteurs sont sans danger pour la santé
Bruno Le Maire prend officiellement position sur la cryptomonnaie Libra
Toyota : 50% des véhicules vendus au premier semestre étaient des hybrides-électriques
La France va créer son commandement militaire de l'espace
Peugeot 3008 Hybrid : tout ce que l’on sait du futur SUV de la firme sochalienne
La Zone 51 envahie ? L'armée américaine pourrait répondre par la force
Evija : l'hypercar électrique de Lotus se charge en 9 petites minutes
Streaming vidéo : le coût écologique serait désastreux, selon l'association The Shift Project
La prochaine édition du CES va autoriser les sextoys féminins et interdire les
Neuralink : Musk annonce que la start-up est prête à tester sa technologie sur des humains
scroll top