L’informaticien chercheur en sécurité informatique et blogueur australien Troy Hunt a mis à mal l’application « NissanConnect EV app » de la Nissan Leaf, celle qui sert notamment à vérifier l’état de charge et à activer la climatisation à distance. Il a réussi à pirater le système pour, entre autres, contrôler la climatisation d’un véhicule roulant au Royaume-Uni, et conduite par un de ses élèves, alors qu’il se trouvait en Australie.
VIN trop facilement accessible
La faille est d’une simplicité ahurissante. Il suffisait d’obtenir le numéro d’identification du véhicule (VIN) inscrit sur le pare-brise, ou en trouver un – aléatoirement – via l’API (interface de programmation) et une procédure de détection de statut de batterie. Une fois ce sésame en poche, et vu l’absence d’authentification, il lui a été facile de contrôler l’autoradio ou la climatisation de la voiture via Internet, y compris lorsqu’elle est en mouvement. Plus grave, il pouvait obtenir des informations sur les trajets effectués par le véhicule. De plus, il indique qu’il aurait aussi pu décharger la batterie à distance !
Réaction de Nissan
Nissan a dans un premier temps indiqué que cette faille ne mettait pas les occupants des Leaf en danger. Notamment parce que cette application ne permet pas d’ouvrir ou fermer le véhicule, ni de le faire démarrer. Toutefois, vu le retentissement du blog du chercheur australien, la marque japonaise a bloqué l’application sur les Leaf et les eNV200. Elle prévoit de lancer une mise à jour prochainement.
News
