Lorsque les chercheurs en sécurité ont trouvé par le passé des moyens de pirater les systèmes connectés à Internet des véhicules, leurs démonstrations de preuve de concept montraient généralement, heureusement, que pirater des voitures est difficile. Les exploits utilisés par les hackers pour prendre le contrôle à distance d’une Chevrolet Impala en 2010 ou d’un Jeep en 2015 ont nécessité des années de travail pour être développés et ont exigé des tours ingénieux : rétroingénierie du code obscur dans les unités télématiques des voitures, livraison de logiciels malveillants à ces systèmes via des tonalités audio diffusées par des connexions radio, voire introduction d’un disque contenant un fichier musical infecté par des logiciels malveillants dans le lecteur CD de la voiture. Cet été, un petit groupe de hackers a démontré une technique pour pirater et tracer des millions de véhicules qui est considérablement plus facile, aussi facile que de trouver une simple faille dans un site web. Aujourd’hui, un groupe de chercheurs en sécurité indépendants ont révélé qu’ils avaient découvert une faille dans un portail web exploité par le constructeur automobile Kia, qui leur a permis de réattribuer le contrôle des fonctionnalités connectées à Internet de la plupart des véhicules Kia modernes – des dizaines de modèles représentant des millions de voitures sur la route – du smartphone du propriétaire d’une voiture aux téléphones ou ordinateurs des hackers. En exploitant cette vulnérabilité et en développant leur propre application personnalisée pour envoyer des commandes aux voitures ciblées, ils ont pu scanner pratiquement la plaque d’immatriculation de n’importe quel véhicule Kia connecté à Internet et, en quelques secondes, obtenir la capacité de suivre l’emplacement de la voiture, de déverrouiller la voiture, de klaxonner ou de démarrer son moteur à leur guise. Après avoir alerté Kia du problème en juin, il semble que Kia ait corrigé la faille dans son portail web, bien qu’il ait déclaré à WIRED à l’époque qu’il continuait d’examiner les résultats du groupe et n’a pas répondu aux e-mails de WIRED depuis lors. Mais le correctif de Kia est loin de mettre fin aux problèmes de sécurité web de l’industrie automobile, affirment les chercheurs. Le bug web qu’ils ont utilisé pour pirater les Kias est en fait le deuxième du genre qu’ils ont signalé à l’entreprise propriétaire de Hyundai ; ils ont découvert une technique similaire pour pirater les systèmes numériques des Kia l’année dernière. Et ces bugs ne sont que deux parmi un tas de vulnérabilités similaires basées sur le web qu’ils ont découvertes au cours des deux dernières années, qui ont affecté des voitures vendues par Acura, Genesis, Honda, Hyundai, Infiniti, Toyota, et d’autres. « Plus nous avons enquêté là-dessus, plus il est devenu très évident que la sécurité web pour les véhicules est très faible », déclare Neiko “specters” Rivera, l’un des chercheurs qui a découvert la dernière vulnérabilité de Kia et qui a travaillé avec un groupe plus large responsable de la précédente série de problèmes de sécurité de voitures basés sur le web révélée en janvier de l’année dernière.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale
