Cybersécurité : Des millions de véhicules Kia exposés à un piratage à distance

Des chercheurs en cybersécurité ont découvert plusieurs vulnérabilités sur des voitures Kia, permettant théoriquement à des pirates informatiques d’en prendre le contrôle à distance en se servant uniquement de leur plaque d’immatriculation. Les failles de sécurité ont été depuis signalées au constructeur, qui a publié un correctif cet été.

Un groupe de chercheurs en cybersécurité a découvert plusieurs failles critiques sur un site web destiné aux propriétaires de véhicules Kia. Ces vulnérabilités auraient pu permettre à des pirates informatiques d’en prendre le contrôle en les déverrouillant, les démarrant et les suivant à distance. Le tout en moins de 30 secondes, et à l’aide d’une simple plaque d’immatriculation.

Presque tous les véhicules Kia fabriqués après 2013

Les chercheurs Sam Curry, Neiko Rivera, Justin Rhinehart et Ian Carroll expliquent dans leur rapport que ces vulnérabilités concernent “la quasi-totalité des véhicules Kia construits après 2013”, que leurs propriétaires disposent ou non d’un abonnement Kia Connect. Cet outil permet de connecter une Kia à un smartphone, offrant de davantage de fonctionnalités.

Pour s’infiltrer dans les systèmes internes du constructeur sud-coréen, les chercheurs ont créé un compte dans une infrastructure dédiée aux concessionnaires (kiaconnect[.]kdealer.com). Une fois l’authentification réussie, ils ont pu générer un jeton d’accès avec quelques requêtes HTTP, en appelant les API back-end du concessionnaire “véridique”.

Un accès aux données personnelles des propriétaires

“La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule, expliquent les chercheurs. Nous avons pu nous authentifier sur le portail du concessionnaire à l’aide de nos identifiants habituels (…). Cela signifie que nous pouvions théoriquement atteindre tous les autres endpoints du concessionnaire.” Il suffirait alors à un utilisateur malveillant de changer l’adresse mail du propriétaire légitime pour s’enregistrer comme nouveau propriétaire, à son insu. La personne ciblée, quant à elle, ne reçoit aucune notification de la part du constructeur lui indiquant que ses données personnelles d’accès ont été modifiées.

À partir de là, les chercheurs ont montré qu’il était possible pour des cybercriminels de prendre le contrôle d’une voiture en saisissant uniquement le numéro d’identification du véhicule (VIN). Les pirates informatiques auraient alors pu exécuter des commandes critiques sur les différents modèles, comme le déverrouillage, le démarrage, le suivi ou faire klaxonner la voiture à distance. Les vulnérabilités, découvertes par les chercheurs le 11 juin, ont depuis été transmises à Kia, qui a publié un correctif à la mi-août. Le constructeur sud-coréen a confirmé que l’outil n’avait pas été exploité par des hackers.

De gros enjeux de cybersécurité pour les véhicules connectés

Ces failles d’ampleur mettent en évidence le manque de cybersécurité des voitures équipées de nombreux systèmes connectés. Les portes d’entrée sont plus nombreuses pour les hackers, qui profitent le plus souvent d’une mauvaise protection des logiciels implémentés. En 2022, Sam Curry et d’autres chercheurs avaient réussi à infiltrer les systèmes internes d’une société fournissant des services de géolocalisation automobile. Avec un tel accès, des cybercriminels auraient pu envoyer des commandes arbitraires à plus de 15,5 millions de voitures (déverrouillage, désactivation du démarreur, démarrage du moteur), dont certains véhicules d’urgence.

Source : L’usine digitale