Une faille de sécurité critique touche 100 millions de véhicules dans le monde

Julien 11 août 2016 7

Des chercheurs de l’université de Birmingham et de l’entreprise allemande Kasper & Oswald ont découvert une faille permettant de déverrouiller à distance des voitures Volkswagen sans posséder leurs clés. Elle pourrait concerner plus de 100 millions de véhicules, soit la quasi-totalité de ceux vendus par l’entreprise ces vingt dernières années.

Dans un article publié cette semaine à l’occasion de la conférence Usenix à Austin consacrée à la sécurité informatique, les quatre chercheurs expliquent comment ils parviennent à intercepter le signal de déverrouillage d’un véhicule et à en cloner le « bip ». Un journaliste allemand de la Süddeutsche Zeitung a pu assister à une démonstration du dispositif.
Dans un premier temps, en analysant le système informatique de toutes ces voitures Volkswagen, les chercheurs ont découvert que seules quelques clés de chiffrement étaient utilisées pour des millions de véhicules disséminés à travers le monde. « En connaissant ces clés, il ne reste plus au pirate qu’à intercepter le signal de la télécommande de sa cible. Alors il pourra le déchiffrer (…) et fabriquer un clone de la télécommande pour verrouiller ou déverrouiller n’importe quelle porte du véhicule autant de fois qu’il le voudra », expliquent les chercheurs dans leur article.

Un matériel accessible

L’interception de ce signal nécessite un matériel simple et peu onéreux, puisqu’un une carte électronique Arduino équipée d’un récepteur radio coûte environ 35 dollars. Seule limite, le pirate doit se trouver à moins de 90 mètres du véhicule pour intercepter ce signal. Cette vulnérabilité concerne aussi les véhicules d’autres marques appartenant au groupe Volkswagen, comme Audi et Skoda.
Parallèlement, les chercheurs ont aussi détecté une faille similaire dans le système de chiffrement HiTag2, qui équipe quelques millions de véhicules des marques Citroën, Peugeot, Alpha Romeo, Fiat, Ford, Nissan, Mitsubishi ou encore Opel.

Interrogé par la presse allemande, Volkswagen a admis que « les systèmes de sécurité des véhicules âgés de jusqu’à 15 ans ne présentent pas le même niveau de sécurité que ceux (des) véhicules actuels » du groupe. Les chercheurs disent dans leur article avoir prévenu l’entreprise avant la publication. « Le groupe Volkswagen a reconnu ces vulnérabilités », écrivent-ils. « Nous avons accepté de ne pas divulguer certains détails », pour éviter d’offrir un mode d’emploi précis à de potentiels pirates.
Le scientifique Flavio Garcia, qui fait partie de cette équipe de recherche, n’en est pas à son coup d’essai. L’an dernier, il avait mis au jour une autre faille de Volkswagen, permettant à des pirates de démarrer des voitures fonctionnant sans clé.

 

7 Commentaires »

  1. Marya Mirmow 2 février 2017 à 20 h 17 min -

    I reckon something really special in this internet site.

  2. JarrodRaybur 20 février 2017 à 14 h 47 min -

    I see your website needs some unique & fresh articles.
    Writing manually is time consuming, but there is solution for this.
    Just search for; Masquro’s strategies

  3. lovely shez 4 mars 2017 à 18 h 22 min -

    jpvV3E Thank you, I ave been searching for facts about this topic for ages and yours is the best I have found so far.

  4. here 8 mars 2017 à 11 h 42 min -

    Normally I don’t read article on blogs, but I wish to say that this write-up very pressured me to take a look at and do it! Your writing taste has been amazed me. Thank you, very great article.

  5. 79Nida 22 mars 2017 à 18 h 40 min -

    I must say you have hi quality content here. Your website can go viral.
    You need initial boost only. How to get it? Search for; Etorofer’s strategies

  6. stare przepisy kulinarne 26 avril 2017 à 2 h 49 min -

    Very good website – bookmarked

  7. BernieAbraha 30 avril 2017 à 19 h 34 min -

    I see your page needs some unique articles. Writing manually is time consuming, but there is solution for this hard task.
    Just search for; Miftolo’s tools rewriter

Laisser une réponse »

You must be logged in to post a comment.