VW poursuit les chercheurs pour dissimuler une faille de sécurité pendant deux ans

Publicité

Les vulnérabilités de sécurité des logiciels sont signalées tout le temps. Généralement, la réponse lorsqu'une vulnérabilité est découverte est de remercier (ou, dans de nombreux cas, de payer) le chercheur qui l'a trouvée, puis de résoudre le problème. C’est la réponse standard de l’industrie.

Une réponse décidément non standard consisterait à poursuivre les personnes qui ont signalé la vulnérabilité pour les empêcher d'en parler, puis à passer deux ans à essayer de cacher le problème. Malheureusement, c'est exactement ce qu'a fait le constructeur automobile allemand Volkswagen.

Détournement cryptographique

La vulnérabilité en question était une faille du système d'allumage sans clé de certaines voitures. Ces systèmes, une alternative haut de gamme aux clés conventionnelles, sont censés empêcher la voiture de se déverrouiller ou de démarrer à moins que le porte-clés ne soit à proximité. La puce est appelée «Megamos Crypto» et est achetée auprès d'un fabricant tiers en Suisse. La puce est censée détecter un signal provenant de la voiture et répondre avec un

message signé cryptographiquement Pouvez-vous signer électroniquement des documents et devriez-vous?Peut-être avez-vous entendu vos amis avertis utiliser les termes signature électronique et signature numérique. Vous les avez peut-être même entendus utilisés de manière interchangeable. Cependant, vous devez savoir que ce ne sont pas les mêmes. En réalité,... Lire la suite assurer à la voiture que vous pouvez déverrouiller et démarrer.

Malheureusement, la puce utilise un schéma cryptographique obsolète. Lorsque les chercheurs Roel Verdult et Baris Ege ont remarqué ce fait, ils ont pu créer un programme qui rompt le cryptage en écoutant les messages entre la voiture et le porte-clés. Après avoir entendu deux de ces échanges, le programme est en mesure de réduire la gamme de clés possibles à environ 200 000 possibilités - un nombre qui peut être facilement forcé par un ordinateur.

Ce processus permet au programme de créer un «duplicata numérique» du porte-clés et de déverrouiller ou démarrer la voiture à volonté. Tout cela peut être fait par un appareil (comme un ordinateur portable ou un téléphone) qui se trouve à proximité de la voiture en question. Il ne nécessite pas d'accès physique au véhicule. Au total, l'attaque dure une trentaine de minutes.

Si cette attaque semble théorique, elle ne l'est pas. Selon la Metropolitan Police de Londres, 42% des vols de voitures à Londres l'année dernière ont été perpétrés à l'aide d'attaques contre des systèmes déverrouillés sans clé. Il s'agit d'une vulnérabilité pratique qui met en danger des millions de voitures.

Tout cela est plus tragique, car les systèmes de déverrouillage sans clé peuvent être beaucoup plus sûrs que les clés conventionnelles. La seule raison pour laquelle ces systèmes sont vulnérables est due à l'incompétence. Les outils sous-jacents sont bien plus puissants que n'importe quel verrou physique.

Divulgation responsable

Les chercheurs ont initialement divulgué la vulnérabilité au créateur de la puce, leur donnant neuf mois pour corriger la vulnérabilité. Lorsque le créateur a refusé d'émettre un rappel, les chercheurs se sont rendus chez Volkswagen en mai 2013. Ils avaient initialement prévu de publier l'attaque lors de la conférence USENIX en août 2013, accordant à Volkswagen environ trois mois pour commencer un rappel / une modification, avant que l'attaque ne devienne publique.

Au lieu de cela, Volkswagen a poursuivi pour empêcher les chercheurs de publier le document. Un tribunal de grande instance britannique du côté de Volkswagen, en disant: «Je reconnais la valeur élevée de la liberté d'expression académique, mais il y a une autre valeur élevée, la sécurité de millions de voitures Volkswagen.»

Il a fallu deux ans de négociations, mais les chercheurs sont finalement autorisés à publier leur article, moins une phrase qui contient quelques détails clés sur la réplication de l'attaque. Volkswagen n'a toujours pas réparé les porte-clés, pas plus que les autres fabricants qui utilisent la même puce.

Sécurité par litige

De toute évidence, le comportement de Volkswagen ici est totalement irresponsable. Plutôt que d'essayer de résoudre le problème avec leurs voitures, ils ont plutôt consacré du temps et de l'argent à essayer d'empêcher les gens de le découvrir. C’est une trahison des principes les plus fondamentaux d’une bonne sécurité. Leur comportement ici est inexcusable, honteux et d'autres invectives (plus colorées) que je vous épargnerai. Autant dire que ce n'est pas ainsi que doivent se comporter les entreprises responsables.

Malheureusement, ce n'est pas non plus unique. Les constructeurs automobiles ont laissé tomber la balle de sécurité Les pirates peuvent-ils vraiment prendre le contrôle de votre voiture? Lire la suite beaucoup ces derniers temps. Le mois dernier, il a été révélé qu'un modèle particulier de Jeep pourrait être piraté sans fil via son système de divertissement Dans quelle mesure les voitures autonomes connectées à Internet sont-elles sécurisées?Les voitures autonomes sont-elles sûres? Les automobiles connectées à Internet pourraient-elles être utilisées pour provoquer des accidents, voire assassiner des dissidents? Google n'espère pas, mais une récente expérience montre qu'il reste encore beaucoup à faire. Lire la suite , quelque chose qui serait impossible dans toute conception de voiture soucieuse de la sécurité. Au crédit de Fiat Chrysler, ils ont rappelé plus d'un million de véhicules dans le sillage de cette révélation, mais seulement après que les chercheurs en question ont fait la démonstration du hack dans un manière irresponsable dangereuse et vivante.

Des millions d'autres véhicules connectés à Internet sont probablement vulnérable à des attaques similaires - mais personne n'a encore mis en danger un journaliste avec eux, il n'y a donc pas de rappel. Il est tout à fait possible que nous ne voyions aucun changement sur ces derniers jusqu'à ce que quelqu'un décède.

Le problème ici est que les constructeurs automobiles n'ont jamais été des fabricants de logiciels auparavant - mais maintenant ils le sont soudainement. Ils n'ont pas de culture d'entreprise soucieuse de la sécurité. Ils n’ont pas l’expertise institutionnelle pour traiter ces problèmes de la bonne manière, ni construire des produits sécurisés. Lorsqu'ils sont confrontés à eux, leur première réponse est la panique et la censure, pas des correctifs.

Il a fallu des décennies aux éditeurs de logiciels modernes pour développer de bonnes pratiques de sécurité. Certains, comme Oracle, sont encore coincé avec des cultures de sécurité obsolètes Oracle veut que vous cessiez de leur envoyer des bugs - voici pourquoi c'est fouOracle est dans l'eau chaude sur un article de blog malavisé du chef de la sécurité, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d'Oracle s'écarte du courant dominant n'a pas été bien reçue dans la communauté de la sécurité ... Lire la suite . Malheureusement, nous n'avons pas le luxe d'attendre simplement que les entreprises développent ces pratiques. Les voitures sont des machines chères (et extrêmement dangereuses). Ils constituent l'un des domaines les plus critiques de la sécurité informatique, après les infrastructures de base comme le réseau électrique. Avec le montée des voitures autonomes L'histoire est superposée: l'avenir des transports ne ressemblera à rien de ce que vous avez vu auparavantDans quelques décennies, l'expression `` voiture sans conducteur '' ressemblera énormément à celle de `` voiture sans chevaux '', et l'idée de posséder votre propre voiture semblera aussi pittoresque que de creuser votre propre puits. Lire la suite en particulier, ces entreprises doivent faire mieux et il est de notre responsabilité de les maintenir à un niveau plus élevé.

Pendant que nous travaillons là-dessus, le moins que nous puissions faire est de faire en sorte que le gouvernement cesse de permettre ce mauvais comportement. Les entreprises ne devraient même pas essayer de recourir aux tribunaux pour cacher des problèmes avec leurs produits. Mais, tant que certains d'entre eux sont prêts à essayer, nous ne devrions certainement pas les laisser. Il est essentiel que nous ayons des juges qui connaissent suffisamment la technologie et les pratiques de l’industrie du logiciel soucieuse de la sécurité pour savoir que ce type d’ordre bâillonné n’est jamais la bonne réponse.

Qu'est-ce que tu penses? Êtes-vous préoccupé par la sécurité de votre véhicule? Quel constructeur automobile est le meilleur (ou le pire) en matière de sécurité?

Crédits image:ouvrir sa voiture par nito via Shutterstock