Accueil > VIE NOMADE
Version imprimable Facebook Twitter

Les applications de commande à distance des voitures connectées ne sont pas suffisamment protégées

Les véhicules se connectent de plus en plus activement à Internet, qu’il s’agisse de leurs systèmes d’infodivertissement ou de leurs systèmes critiques, tels que le verrouillage des portières ou l’allumage, désormais accessibles en ligne. Comment les constructeurs protègent-ils les applications de commande à distance de leurs voitures connectées contre le risque de cyberattaques ? Pour en avoir le coeur net, les chercheurs de Kaspersky Lab ont testé sept applications développées par de grands constructeurs et ont ainsi découvert que chacune des applications examinées présentait plusieurs problèmes de sécurité.

Parmi les problèmes de sécurité décelés :

  • aucune défense contre une rétro-ingénierie de l’application. Des utilisateurs malveillants peuvent ainsi comprendre le fonctionnement de l'app et y détecter une vulnérabilité leur permettant d’accéder à l’infrastructure côté serveur ou au système multimédia du véhicule.
  • aucun contrôle d’intégrité du code, ce qui offre à des criminels la possibilité d’incorporer leur propre code informatique dans l’application afin de remplacer le programme d’origine par un faux.
  • aucune technique de détection des accès Root. Les droits Root octroient aux chevaux de Troie des capacités quasi illimitées et laissent l’application sans défense.
  • absence de protection contre les techniques de superposition d’application, ce qui permet à des applications malveillantes d’afficher des fenêtres de phishing pour dérober les identifiants des utilisateurs.
  • stockage des identifiants et mots de passe en clair. Grâce à cette faiblesse, un criminel peut s’approprier les données d’un utilisateur avec une relative facilité.
Une fois qu’il a réussi à exploiter une de ces vulnérabilités, un pirate peut donc parfaitement prendre le contrôle de la voiture, déverrouiller les portières, désactiver l’alarme et, en théorie, voler le véhicule.

Dans chaque cas, le vecteur d’attaque nécessite en plus certaines étapes préparatoires, consistant par exemple à inciter l’utilisateur par ruse à installer une application malveillante, spécialement conçue pour obtenir un accès Root au système et au programme du véhicule. Cependant, alors que les experts de Kaspersky Lab ont abouti dans leurs recherches à lad découverte de diverses applications malveillantes qui ciblent des identifiants de banque en ligne et d’autres informations sensibles, il est peu probable que cela pose un problème à des criminels aguerris dans les techniques d’ingénierie sociale, s’ils devaient décider de s’en prendre aux propriétaires de voitures connectées.

Principale conclusion de cette étude : les applications commandant les véhicules connectés ne sont pas prêtes à résister aux attaques de malware. "Nous pensons que les constructeurs automobiles s’exposent aux mêmes risques que les banques avec leurs applications, explique Victor Chebyshev, Expert en sécurité chez Kaspersky Lab. Au départ, les applications des banques en ligne n’intégraient pas toutes les fonctions de sécurité que nous avons répertoriées. Après de multiples cas d’attaques contre des applications bancaires, de nombreux établissements ont amélioré la sécurité de leurs produits. Par bonheur, nous n’avons pour l’instant détecté aucun cas d’attaque contre des applications de véhicules, ce qui signifie que les constructeurs ont encore le temps de faire ce qu’il faut. Mais nous ignorons combien de temps exactement".


mardi 28 mars 2017
0 1 2 3 4 5
Nouveau commentaire :
SQ 250-300
Les rubriques