Deux systèmes d’alarme de voiture populaires ont des vulnérabilités de sécurité fixes qui ont permis aux chercheurs de suivre, de détourner et de prendre le contrôle à distance des véhicules avec les alarmes installées.
Les systèmes, construits par le fabricant d’alarmes russe Pandora et la société californienne Viper – ou Clifford au Royaume-Uni – étaient vulnérables à une API côté serveur facilement manipulable, selon des chercheurs de Pen Test Partners, une société britannique de cybersécurité. Dans leurs conclusions, l’API pourrait faire l’objet d’abus pour prendre le contrôle du compte d’utilisateur d’un système d’alarme – et de leur véhicule.
A voir aussi : Besoin d'appareils photo ? Le Nokia 9 PureView a beaucoup d'avantages
C’est parce que les systèmes d’alarme vulnérables pourraient être trompés pour réinitialiser un mot de passe de compte parce que l’API ne vérifiait pas s’il s’agissait d’une requête autorisée, permettant aux chercheurs de se connecter.
Bien que les chercheurs aient acheté des alarmes pour les tester, ils ont dit que “n’importe qui” pouvait créer un compte utilisateur pour accéder à n’importe quel compte authentique ou extraire toutes les données des utilisateurs des entreprises.
Lire également : Facebook interdit enfin l'activiste d'extrême droite britannique Tommy Robinson
Les chercheurs ont déclaré que quelque trois millions de voitures dans le monde étaient vulnérables aux défauts, depuis réparés.
Dans un exemple montrant le piratage, les chercheurs ont géolocalisé un véhicule cible, l’ont suivi en temps réel, l’ont suivi, ont coupé le moteur à distance et ont forcé la voiture à s’arrêter, et ont déverrouillé les portes. Les chercheurs ont déclaré qu’il était “trivialement facile” de détourner un véhicule vulnérable. Pire encore, il a été possible d’identifier certains modèles de voitures, ce qui a facilité les détournements ciblés ou les véhicules haut de gamme.
Selon leurs conclusions, les chercheurs ont également découvert qu’ils pouvaient écouter sur le microphone embarqué, intégré dans le système d’alarme Pandora pour passer des appels aux services d’urgence ou à l’assistance routière.
Ken Munro, fondateur de Pen Test Partners, a déclaré à TechCrunch qu’il s’agissait de leur “plus gros” projet.
Les chercheurs ont communiqué avec Pandora et Viper avec une période de divulgation de sept jours, compte tenu de la gravité des vulnérabilités. Les deux sociétés ont réagi rapidement pour corriger les défauts.
Chris Pearson de Viper a confirmé que la vulnérabilité a été corrigée : “Si elle est utilisée à des fins malveillantes,[le défaut] pourrait permettre d’accéder aux comptes des clients sans autorisation.”
M. Viper a accusé un fournisseur de services d’avoir récemment mis à jour le système et a déclaré que le problème avait été ” rapidement corrigé “.
“Dirigé croit qu’aucune donnée sur les clients n’a été exposée et qu’aucun compte n’a été consulté sans autorisation pendant la courte période où cette vulnérabilité existait “, a déclaré M. Pearson, mais n’a fourni aucune preuve de la façon dont la société est parvenue à cette conclusion.
Dans un long courriel, Antony Noto, de Pandora, a contesté plusieurs des conclusions du chercheur, résumant : “Le cryptage du système n’a pas été craqué, les télécommandes n’ont pas été piratées,[et] les étiquettes n’ont pas été clonées”, dit-il, “un problème logiciel a permis un accès temporaire au dispositif pendant une courte période, qui a maintenant été résolu”.
Cette recherche fait suite aux travaux effectués l’an dernier par Vangelis Stykas sur le Calamp, un fournisseur de télématique qui sert de base à l’application mobile de Viper. Stykas, qui s’est par la suite joint à Pen Test Partners et a également travaillé sur le projet d’alarme de voiture, a découvert que l’application utilisait des informations d’identification codées en dur dans l’application pour se connecter à une base de données centrale, qui permettait à quiconque se connectait de contrôler à distance un véhicule connecté.
Les haut-parleurs de casque de ski Chips d’Outdoor Tech sont un véritable fouillis de failles de sécurité.
