Deux fabricants populaires d'alarmes connectées pour voiture ont dû mettre à jour leur système. Une faille a permis à des chercheurs de suivre, de détourner et de prendre à contrôle à distance des véhicules équipés. Pas moins de 3 millions d'automobiles étaient sensibles à cette faille.
Les fabricants d'alarmes connectées Pandora et Viper (nommé Clifford au Royaume-Uni) ont dû mettre à jour leur système respectif. La raison ? La découverte de chercheurs de Pen Test Partners. Cette entreprise britannique de cybersécurité considère que les produits russes et californiens installés dans pas moins de trois millions de véhicules étaient vulnérables. En outre, Cela représente un butin de 150 milliards de dollars.
Des alarmes connectées à la sécurité douteuse
En cause, l'API serveur relié à l'application mobile était facilement manipulable. Selon les chercheurs, les hackers auraient pu prendre le contrôle du compte utilisateur lié à l'alarme et de son automobile.
L'API en question n'arrivait pas à reconnaître une requête non autorisée. Il a suffi à Pen Test Partners d'induire une réinitialisation du mot de passe pour accéder au système. Selon les chercheurs, “n'importe qui” pouvait créer un compte et prendre les identifiants des véritables clients et/ou extraire leurs données.
Dans le cadre de leurs essais, ils ont pu contrôler des alarmes connectées, les activer à distance, suivre en temps réel les véhicules équipés, ouvrir les serrures des portières et même dans certains cas démarrer le moteur.
Une réaction rapide des fabricants
Ils auraient pu choisir la marque d'une grosse berline de type Porsche ou d'un coupé sport comme une Lamborghini, et s'emparer facilement du butin sur roue. Pire, certaines alarmes connectées de Pandora s'équipent de microphones. Les ingénieurs ont ainsi pu entendre les conversations dans les habitacles au cours de leurs tests.
Cette faille découverte en octobre a depuis été réparée en une semaine par les deux entreprises, au mois de février. Selon un porte-parole de Viper, ce problème résulte d'une mise à jour récente. En revanche, le fabricant à la certitude que les informations de ses utilisateurs n'ont pas été volées.
De son côté, Pandora, a assuré que cette brèche temporaire n'a pas permis de casser le système de chiffrement des données. De même, il ne signale pas de copies de clés virtuelles.
Enfin, la manipulation très aisée de ces systèmes de sécurité très coûteux (environ 5 000 dollars) a inquiété Test Pen Partners. En peu de temps, il pouvait voler un grand nombre d'utilisateurs de ces produits.
- Partager l'article :