Sam Curry et son équipe ont voulu vérifier l’invulnérabilité des apps de voitures connectées d’une quinzaine de constructeurs, notamment celles permettant d’accéder au véhicule ou d’activer des fonctions à distance. Les failles de sécurité ont été nombreuses et variées, à des degrés divers. Comme on peut le lire sur son blog, il leur a été relativement aisé d’accéder aux comptes et de collecter des données. Notamment des propriétaires de Ferrari, de Ford, de Jaguar, de Land Rover, de Porsche et de Toyota. Ils ont également eu accès à des données sensibles de BMW, Mercedes et Rolls-Royce.
Activation à distance
C’est encore plus inquiétant pour les Acura, Genesis, Honda, Hyundai, Kia et Nissan. La team de Sam Curry a réussi à (dé)verrouiller les voitures à distance et même à démarrer le moteur. Il leur a aussi été possible d’activer les phares ou le klaxon à distance. Une faille également constatée sur les Mercedes et Porsche, sans parvenir toutefois à les déverrouiller et à les démarrer. La localisation du véhicule à distance Porsche a également été hackée. Avec Kia, ils ont pu activer la vision panoramique par caméras pour surveiller les alentours du véhicule.
Peur sur la ville
Sam Curry a aussi testé la sécurité du système de localisation Spireon utilisé par de nombreux services de secours américains. Les vulnérabilités sont multiples avec un accès administrateur complet permettant de déverrouiller le véhicule, démarrer le moteur, désactiver le démarreur, lancer la navigation, localiser, mettre à jour le logiciel (et donc l’infecter) et prendre le contrôle de toutes les flottes utilisant le système, soit 15,5 millions de véhicules dont ceux appartenant à des forces de police et des ambulances. De plus, il leur a été possible d’exécuter des codes à distance sur les systèmes centraux pour la gestion des comptes utilisateurs, des appareils, des flottes et de toutes les données sur l'ensemble de Spireon et des 1,2 millions d’utilisateurs. Bref, un pirate ou un groupe mal intentionnés pourrait créer un véritable chaos pour désorienter et bloquer les secours.
News
