Des chercheurs en cybersécurité ont réussi à pirater des voitures Hyundai et Genesis commercialisées après 2012. Ils ont révélé sur Twitter les grandes lignes de leur technique qui a permis de contrôler à distance les serrures, le moteur, le klaxon, les phares et le coffre des véhicules, démontrant ainsi la vulnérabilité de ces véhicules.
Comment les chercheurs ont piraté les voitures
Les chercheurs n’ont pas dévoilé la procédure complète de leur attaque. Ils ont toutefois expliqué qu’ils se sont attaqués aux applications du constructeur Hyundai et ont surveillé le trafic réseau entre l’application et le serveur. En analysant ces données, ils ont découvert que l’API utilisée ne vérifiait l’identité du propriétaire qu’à partir de son adresse mail et que l’application permettait de créer un compte avec une adresse mail non vérifiée. Ils ont alors créé un script en python qui leur a permis d’utiliser l’API en utilisant une adresse mail usurpée, déjouant ainsi l’authentification du système et leur permettant de lancer des actions. En automatisant leur attaque, c’est ainsi qu’ils ont réussi à déverrouiller et faire démarrer un modèle récent de Hyundai.
Une deuxième méthode a également été trouvée pour prendre le contrôle de plusieurs véhicules équipés du système SiriusXM, qui gère la télématique dans les véhicules, en utilisant simplement leur numéro d’identification (code VIN) visible sur le tableau de bord de la voiture.
Quels modèles étaient concernés ?
Avec la première procédure, les experts ont affirmé que cette attaque pouvait être menée sur l’ensemble des modèles Hyundai et Genesis sortis après 2012.
Quant à la seconde procédure, les hackers ont été en mesure de cibler « n’importe quel véhicule Honda, Nissan, Infiniti et Acura connecté à distance », c’est-à-dire équipé de la technologie SiriusXM.
Les failles ont été corrigées
Une fois la démonstration terminée, les chercheurs ont travaillé en collaboration avec Hyundai pour corriger cette faille. Un porte-parole de Hyundai a assuré que « aucun véhicule ou compte client n’a été visé par d’autres personnes suite aux problèmes soulevés par les chercheurs » et que « pour exploiter la prétendue vulnérabilité, il fallait connaître l’adresse électronique associée au compte Hyundai et au véhicule en question ».
De même, la seconde vulnérabilité a été signalée et corrigée rapidement par SiriusXM.
Les risques liés aux commandes à distance
Les commandes sans-fil peuvent présenter des risques pour la sécurité des véhicules. En 2019, des chercheurs avaient déjà réussi à pirater une Tesla Model X à distance en utilisant une faille dans le système de verrouillage des portes. Il est donc important de rester vigilant et de prendre les mesures de sécurité nécessaires pour protéger les voitures des attaques de hackers. Car bien que les vulnérabilités soient complexes à exploiter, elles mettent en évidence qu’il reste encore beaucoup de progrès à faire en matière de cybersécurité automobile.
