Volkswagen a été trouvé sujet à des failles-piratage voiture, un rapport détaillé Computest récemment révélé. Les chercheurs ont déterré que les systèmes IVI (À bord du véhicule infodivertissement) dans certains modèles Volkswagen sont vulnérables aux attaques de pirates à distance. Ces vulnérabilités pourraient aussi conduire à la compromission d'autres systèmes automobiles critiques.
Détails techniques sur la recherche
Plus particulièrement, chercheurs Thijs Alkemade et Daan Keuper découvert la vulnérabilité dans Golf Volkswagen et le GTE Audi3 Sportback e-tron. La faille pourrait permettre à des pirates de prendre le contrôle des fonctions critiques dans certains cas. Les fonctions comprennent allumer et éteindre le microphone de la voiture, enrôlant le micro pour écouter les conversations du conducteur, et obtenir l'accès à l'historique des conversations et le carnet d'adresses de l'automobile. En plus de cela, les chercheurs ont déclaré que les attaquants pourraient également suivre la voiture via son système de navigation.
Un nombre croissant de voitures disposent d'une connexion Internet, et certaines voitures ont même deux connexions cellulaires à la fois, les chercheurs ont écrit. Cette connexion peut par exemple être utilisé par le système IVI pour obtenir des informations, telles que les données cartographiques, ou d'offrir des fonctionnalités comme un navigateur Internet ou un point d'accès Wi-Fi ou pour donner aux propriétaires la possibilité de contrôler certaines fonctions via une application mobile.
Pour leur rapport, les chercheurs ont spécifiquement porté sur les vecteurs d'attaque qui pourraient être déclenchés par Internet et sans interaction de l'utilisateur. L'objectif qui a inspiré la recherche était de voir si le comportement de conduite ou d'autres composants de sécurité critiques dans la voiture pourraient être influencées. En d'autres termes, les chercheurs ont voulu avoir accès au bus CAN à grande vitesse, qui relie des composants tels que les freins, volant de direction et le moteur.
La recherche a commencé avec une Volkswagen Golf GTE, de 2015, avec l'application Car-Net:
Cette voiture dispose d'un système IVI fabriqué par Harman, dénommée la plate-forme d'infodivertissement modulaire (MIB). Notre modèle était équipé de la nouvelle version (version 2) de cette plate-forme, qui a eu plusieurs améliorations à la version précédente (comme Apple carplay). Il est important de noter est que notre modèle n'a pas un plateau de carte SIM séparée. Nous avons supposé que la connexion cellulaire utilisé une carte SIM intégrée, à l'intérieur du système IVI, mais cette hypothèse se révélerait plus tard invalide.
Nous pouvons transiger à distance le système IVI MIB et d'y envoyer des messages CAN arbitraires sur le bus CAN IVI. Par conséquent, nous pouvons contrôler l'écran central, haut-parleurs, et microphone. Ce niveau d'accès qu'aucun attaquant devrait être en mesure d'atteindre.
L'étape suivante de la recherche aurait été de tenter de prendre le contrôle de sécurité de la voiture les composants critiques, tel que le freinage et le système d'accélération du véhicule.
Cependant, après un examen attentif, les deux chercheurs ont décidé de mettre fin à ce stade de leur, car cela risque de compromettre la propriété intellectuelle du fabricant et briser éventuellement la loi.
Réponse de Volkswagen à la divulgation de la vulnérabilité
Étant donné que Volkswagen n'a pas de politique de divulgation responsable présenté sur son site Web, les chercheurs ont rapporté les défauts à l'avocat externe de Volkswagen en Juillet 2017. Une véritable rencontre avec la société a également eu lieu le mois suivant, Août.
C'est ce que les chercheurs dit dans un rapport:
Lors de notre rencontre avec Volkswagen, nous avons eu l'impression que cette vulnérabilité et surtout notre approche était encore inconnue. Nous avons compris dans notre rencontre avec Volkswagen qui, bien qu'il soit utilisé dans des dizaines de millions de véhicules dans le monde entier, ce système IVI spécifique n'a pas subi un test formel de sécurité et la vulnérabilité était encore inconnu pour les. Cependant, dans leurs commentaires pour cet article Volkswagen a déclaré qu'ils connaissaient déjà cette vulnérabilité.
Volkswagen a examiné les défauts, et a dit qu'il ne va publier une déclaration publique, mais plutôt serait revue les recherches pour vérifier leurs déclarations. La société a fait examiner le document de recherche, et l'examen lui-même a été achevée en Février, 2018. “En Avril 2018, juste avant que le document a été rendu public, Volkswagen nous a fourni une lettre qui confirme les vulnérabilités et mentionne qu'ils ont été corrigés dans une mise à jour logicielle du système d'info-divertissement. Cela signifie que les voitures produites depuis cette mise à jour ne sont pas affectés par les vulnérabilités que nous avons trouvé,” les chercheurs ont conclu.
Enfin, il devrait à nouveau noter que les modèles de voitures piraté provenaient 2015. Si par hasard vous possédez une Audi ou Volkswagen à partir de cette année, vous devez contacter votre concessionnaire pour recevoir des informations sur la mise à jour du logiciel.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: