MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Lors de son sommet annuel (Security Analyst Summit) en Thaïlande, Kaspersky a présenté les résultats d’un audit de sécurité mettant au jour une faille de sécurité importante permettant un accès non autorisé à tous les véhicules connectés d’un constructeur automobile.
En exploitant une vulnérabilité zero-day dans l’application publique d’un sous-traitant, il a été possible de prendre le contrôle du système de télématique embarquée du véhicule, compromettant la sécurité physique des conducteurs et des passagers. Concrètement, l’audit a montré que les attaquants peuvent par exemple forcer le passage des vitesses ou couper le moteur pendant la conduite. Ces découvertes mettent en évidence des failles potentielles de cybersécurité dans l’industrie automobile, et appellent à un renforcement urgent des mesures de sécurité.
L’audit de sécurité, mené à distance, a pris pour cible les services publiquement accessibles du constructeur et l’infrastructure du sous-traitant. Kaspersky a identifié plusieurs services web exposés. Grâce à une faille zero-day d’injection SQL dans l’application wiki (une plateforme collaborative), les chercheurs ont pu extraire une liste d’utilisateurs du sous-traitant incluant des hachages de mots de passe, dont certains ont pu être devinés en raison d’une politique de mots de passe trop faible. Cette faille a permis d’accéder au système de suivi des incidents du prestataire, contenant des informations de configuration sensibles sur l’infrastructure télématique du constructeur, notamment un fichier contenant les mots de passe hachés des utilisateurs de l’un des serveurs du fabricant.
Dans les véhicules vendus aujourd’hui, le système télématique permet la collecte, la transmission, l’analyse et l’exploitation de diverses données (vitesse, géolocalisation, etc.) provenant des véhicules connectés.
Du côté des véhicules « intelligents », Kaspersky a découvert un pare-feu mal configuré exposant les serveurs internes. En exploitant un mot de passe de compte de service récupéré plus tôt, les chercheurs ont accédé au système de fichiers du serveur et découvert les identifiants d’un autre prestataire, leur donnant un contrôle total sur l’infrastructure télématique. Plus alarmant encore, ils ont découvert une commande de mise à jour du firmware leur permettant de télécharger un micrologiciel altéré sur l’unité de contrôle télématique (TCU). Cette manipulation leur a permis d’accéder au bus CAN (Controller Area Network) du véhicule, le système qui relie les différents composants du véhicule, comme le moteur et les capteurs. Par la suite, ils ont pu atteindre d’autres systèmes critiques, notamment le moteur et la transmission. Les chercheurs ont ainsi pu démontrer la possibilité de contrôler à distance certaines fonctions vitales du véhicule, mettant directement en danger la sécurité de ses occupants. « Les failles de sécurité proviennent de problèmes courants dans l’industrie automobile : services web accessibles au public, mots de passe faibles, absence d’authentification à deux facteurs (2FA) et stockage de données sensibles non chiffré. Cette faille illustre comment un seul maillon faible dans l’infrastructure d’un sous-traitant peut compromettre l’ensemble des véhicules connectés. L’industrie automobile doit privilégier des pratiques de cybersécurité robustes, notamment pour les systèmes tiers, afin de protéger les conducteurs et de préserver la confiance dans les technologies des véhicules connectés », commente Artem Zinenko, responsable de la recherche et de l’évaluation des vulnérabilités de l’équipe ICS CERT de Kaspersky.
Kaspersky recommande aux sous-traitants de restreindre l’accès internet aux services web avec un VPN, d’isoler ces services des réseaux d’entreprise, d’appliquer des politiques de mots de passe strictes, de mettre en œuvre l’authentification à deux facteurs, de chiffrer les données sensibles et d’intégrer la journalisation à un système SIEM pour une surveillance en temps réel.
Pour le constructeur automobile, Kaspersky conseille de restreindre l’accès à la plateforme télématique depuis le segment réseau du véhicule, d’utiliser des listes autorisées pour les interactions réseau, de désactiver l’authentification par mot de passe SSH, d’exécuter des services avec des privilèges minimaux et de garantir l’authenticité des commandes dans les TCU, et d’intégrer un SIEM.
