Les pirates peuvent-ils vraiment prendre le contrôle de votre voiture?

Publicité

Zubie est une petite boîte qui se branche sur le Diagnostics intégrés (ODBII) port trouvé dans la plupart des voitures modernes. Il permet aux utilisateurs de savoir dans quelle mesure ils conduisent et offre des conseils pour étendre leur kilométrage avec une conduite raisonnable et économique. Et jusqu'à récemment, Zubie contenait une grave lacune dans la sécurité qui pourrait rendre les utilisateurs vulnérables au piratage à distance de leur voiture.

Le trou - découvert par des anciens de l'unité 8200, l'équipe d'élite de la cybersécurité des Forces de défense israéliennes - pourrait potentiellement voir des attaquants interférer à distance avec le freinage, la direction et le moteur.

Zubie se connecte à un serveur distant via une connexion GPRS, qui est utilisée pour envoyer les données collectées à un serveur central, ainsi que pour recevoir des mises à jour de sécurité.

Les chercheurs ont découvert que l'appareil commettait l'un des péchés cardinaux de la sécurité du réseau et ne communiquait pas avec le serveur domestique via une connexion cryptée. En conséquence, ils ont pu usurper le serveur central Zubie et envoyer des logiciels malveillants spécialement conçus à l'appareil.

Vous trouverez plus de détails sur l'attaque ci-dessous et vous serez ravi d'apprendre que le problème a depuis été corrigé. Cela soulève cependant une question intéressante. Dans quelle mesure nos voitures sont-elles sécurisées?

Séparer le fait de la fiction

Pour beaucoup, la conduite n'est pas un luxe. C’est une nécessité

Et c'est là une dangereuse nécessité. La plupart des gens ne connaissent que trop bien les risques associés au fait de prendre le volant. Les accidents de voiture sont l'un des plus grands tueurs au monde, avec 1,24 million de vies perdues sur la route rien qu'en 2010.

Mais les décès sur les routes diminuent, et cela est principalement dû à la pénétration accrue des technologies sophistiquées de sécurité routière. Il y en a beaucoup trop pour les énumérer de manière exhaustive, mais l'exemple le plus courant est peut-être OnStar, disponible aux États-Unis, au Canada et en Chine.

La technologie - disponible exclusivement dans les voitures GM, ainsi que dans d'autres véhicules par des sociétés qui ont choisi de sous-licencier la technologie - surveille la santé de votre voiture. Il peut fournir des instructions détaillées et peut automatiquement vous aider si vous vous trouvez dans un accident.

Près de six millions de personnes sont abonnées à OnStar. D'innombrables autres utilisent un système télématique, qui permet aux assureurs de suivre la façon dont les voitures sont conduites et d'adapter les forfaits d'assurance pour récompenser les conducteurs avisés. Justin Dennis a récemment examiné quelque chose de similaire appelé Metronome par Metromile Suivez votre kilométrage, vos coûts de carburant et plus encore avec un appareil OBD2 gratuitDe nos jours, tout semble être intelligent - sauf nos voitures. Cet appareil et cette application ODB2 gratuits changent cela. Lire la suite , qui est disponible gratuitement pour les résidents de Washington, Oregon, Californie et Illinois. Pendant ce temps, de nombreuses voitures après 1998 peuvent être interrogées et surveillées via le Port de diagnostic ODBII grâce à Android Comment surveiller les performances de votre voiture avec AndroidSurveiller des tonnes d'informations sur votre voiture est incroyablement facile et bon marché avec votre appareil Android - découvrez-le ici! Lire la suite et les applications de smartphone iOS.

Comme ces technologies ont atteint l'omniprésence, nous avons également conscience que celles-ci peuvent être piratées. Nulle part ailleurs cela n'est plus évident que dans notre psyché culturelle.

le Thriller 2008 introuvable en vedette une voiture équipée d'OnStar étant «maçonnée» par l'antagoniste du film afin d'attirer quelqu'un dans un piège. Alors qu'en 2009, la société informatique néerlandaise InfoSupport a lancé une série de publicités montrant un pirate fictif appelé Max Cornellise pirater à distance les systèmes automobiles, y compris une Porsche 911, en utilisant uniquement son portable.

Donc, avec tant d'incertitude autour du problème, il est important de savoir ce qui peut être fait et quelles menaces restent dans le domaine de la science-fiction.

Une brève histoire du piratage automobile?

En dehors d'Hollywood, les chercheurs en sécurité ont accompli des choses assez effrayantes avec les voitures.

En 2013, Charlie Miller et Chris Valasek a démontré une attaque où ils ont compromis une Ford Escape et Toyota Prius et a réussi à prendre le contrôle de les installations de freinage et de direction. Cependant, cette attaque avait un inconvénient majeur, car elle dépendait de la connexion d'un ordinateur portable au véhicule. Cela a laissé les chercheurs en sécurité curieux et se demandait s'il était possible d'accomplir la même chose, mais sans être physiquement attaché à la voiture.

Cette question a reçu une réponse concluante un an plus tard, lorsque Miller et Valasek ont ​​mené une étude encore plus détaillée sur la sécurité de 24 modèles de voitures différents. Cette fois-ci, ils se concentraient sur la capacité d'un attaquant à mener une attaque à distance. Leurs recherches approfondies ont produit un rapport de 93 pages, qui a été publié sur Scribd pour coïncider avec leur entretien de suivi à la conférence de sécurité Blackhat à Las Vegas.

Cela a suggéré que nos voitures ne sont pas aussi sûres qu’on le pensait, beaucoup n’ayant pas les protections de cybersécurité les plus rudimentaires. Le rapport accablant a souligné que la Cadillac Escalade, la Jeep Cherokee et l'Infiniti Q50 étaient les plus vulnérables à une attaque à distance.

Quand on regarde l'Infinity Q10 Plus précisément, nous constatons des lacunes importantes en matière de sécurité.

Ce qui rend l'Infiniti aussi attrayante qu'une voiture, c'est aussi ce qui la rend si vulnérable. Comme de nombreuses voitures haut de gamme produites ces dernières années, elle est livrée avec un ensemble de fonctionnalités technologiques conçues pour rendre l'expérience de conduite plus agréable. Celles-ci vont du déverrouillage sans clé, à la surveillance sans fil de la pression des pneus, à une application pour smartphone «assistant personnel» qui s'interface avec la voiture.

Selon Miller et Vlasek, certaines de ces caractéristiques technologiques ne sont pas isolées, mais sont plutôt directement en réseau avec les systèmes qui sont responsables de la commande et du freinage du moteur. Cela laisse la possibilité à un attaquant d'accéder au réseau interne de la voiture, puis exploiter une vulnérabilité située dans l'un des systèmes essentiels afin de planter ou d'interférer avec le véhicule.

Des choses comme le déverrouillage sans clé et les «assistants personnels» sont rapidement considérés comme essentiels pour conducteurs, mais comme Charlie Miller l’a si bien souligné, "c’est un peu effrayant qu’ils puissent tous se parler autre."

Mais nous sommes encore très bien dans le monde de la théorie. Miller et Vlasek ont ​​démontré une avenue potentielle pour une attaque, mais pas une attaque réelle. Y a-t-il des exemples de personnes ayant réussi à interférer avec les systèmes informatiques d'une voiture?

Eh bien, les attaques ciblant les fonctionnalités de déverrouillage sans clé ne manquent pas. Un a même été démontré plus tôt cette année à la Blackhat Security Conference à Las Vegas par le chercheur australien en sécurité Silvio Cesare.

En utilisant seulement 1000 $ d'outils standard, il a pu usurper le signal d'un porte-clés, lui permettant de déverrouiller à distance une voiture. L'attaque repose sur la présence physique d'une personne près de la voiture, potentiellement pendant quelques heures, un ordinateur et une antenne radio transmettent essaient de forcer le récepteur intégré au déverrouillage sans clé d'une voiture système.

Une fois que la voiture a été ouverte, l'attaquant pourrait alors tenter de la voler ou se servir de tout objet laissé par le conducteur sans surveillance. Il y a beaucoup de risques de dommages ici.

Y a-t-il des défenses?

Ça dépend.

Il existe déjà une forme de protection contre la vulnérabilité d'accès à distance découverte par Charlie Miller et Chris Valasek. Dans les mois qui ont suivi leur conversation sur Blackhat, ils ont pu construire un dispositif agit comme un système de détection d'intrusion (IDS). Cela n’arrête pas une attaque, mais indique plutôt au conducteur quand une attaque pourrait être en cours. Cela coûte environ 150 $ en pièces et nécessite un peu de savoir-faire en électronique pour construire.

La vulnérabilité Zubie est un peu plus délicate. Bien que le trou ait été corrigé depuis, la faiblesse ne résidait pas dans la voiture, mais plutôt dans l'appareil tiers qui lui était attaché. Alors que les voitures ont leurs propres insécurités architecturales, il semble que l'ajout de suppléments supplémentaires n'augmente que les voies potentielles d'une attaque.

Peut-être que la seule façon d'être vraiment sécurisé est de conduire une vieille voiture. Celui qui n'a pas les cloches et les sifflets hautement sophistiqués des voitures modernes et haut de gamme, et pour résister à l'envie de pousser les choses dans votre port ODBII. Il y a de la sécurité dans la simplicité.

Est-il prudent de conduire ma voiture?

La sécurité est un processus évolutif.

Au fur et à mesure que les gens acquièrent une meilleure compréhension des menaces entourant un système, le système évolue pour se protéger contre eux. Mais le monde de l'automobile n'a pas ShellShock Pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux Lire la suite ou HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite . J'imagine que lorsqu'il a fait l'expérience de sa première menace critique - c'est le premier jour zéro, si vous voulez - les constructeurs automobiles réagiront de manière appropriée et prendront des mesures pour renforcer la sécurité des véhicules rigoureux.

Mais qu'est ce que tu penses? Est-ce un peu optimiste? Êtes-vous inquiet à l'idée que des pirates prennent le contrôle de votre voiture? Je veux en entendre parler. Envoyez-moi un commentaire ci-dessous.

Crédits photo: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com