Discussion :

[Stan Adkens]

Des chercheurs découvrent une vulnérabilité dans les véhicules de Volkswagen et sa filiale Audi
qui permet de lancer des attaques à distance

Toutes ces nouvelles technologies que regroupent les dernières voitures pourraient engendrer des failles exploitables par les cybercriminels. C’est ce que les résultats des recherches sur les véhicules Golf GTE et une Audi3 Sportback e-tron de Volkswagen des chercheurs Daan Keuper et Thijs Alkemade de Computest nous font savoir. Les constructeurs de Ford, Jeep, Nissan et Toyota en ont déjà payé les frais au cours des années récentes, et Volkswagen pourrait passer par cette tempête si rien n’est fait.

Les vulnérabilités découvertes par les chercheurs concernent principalement les systèmes d'infodivertissement embarqués (IVI) des automobiles citées plus haut et sont exploitables via leur connexion WiFi. Mais, selon les chercheurs, le danger ne s’arrêterait pas à ce module. La vulnérabilité du système d’infodivertissement pourrait être une passerelle pour accéder à des systèmes plus critiques dans l’automobile. Ces vulnérabilités pourraient servir de point d’entrée des cybercriminels pour mettre en danger la vie des automobilistes.

Système IVI Volkswagen Golf

Voici quelques possibilités offertes à d’éventuelles cyberattaques, selon la trouvaille des chercheurs :

• possibilité de réquisitionner le microphone de bord pour écouter les conversations du conducteur ;
• possibilité d’allumer et d'éteindre le microphone ;
• possibilité d’accéder au carnet d'adresses complet du système ;
• possibilité d’accéder à l'historique des conversations ;
• le piratage de la voiture à travers le système de navigation à un moment donné est aussi possible.

Mais, selon les chercheurs, les possibilités offertes par la vulnérabilité ne s’arrêtaient pas là. Elles pourraient s’étendre à l’exécution des codes à distance.



Les chercheurs ont dit pouvoir accéder au processeur principal de l'unité d'applications multimédias (MMX) du système IVI, responsable des tâches telles que la composition d'écran et le décodage multimédia. Ce qui permettrait aux cybercriminels de contrôler la radio et l'unité de contrôle de la voiture (RCC).

Les chercheurs envisageaient d’autres tests qui consisteraient à envoyer des messages CAN arbitraires dans le but de vérifier si certaines composantes critiques de sécurité seraient exposées aux éventuelles attaques. Mais ils n’ont pas voulu outrepasser leur prérogative en compromettant la propriété intellectuelle du fabricant. Le rapport de ces recherches a été remis à Volkswagen en été 2017 qui l’a pris en compte et a corrigé les vulnérabilités selon une lettre remise à Computest en avril 2018.

Source : Threat Post

Et vous ?

Que pensez-vous des vulnérabilités récurrentes découvertes chez les constructeurs automobiles ?

Avec ces failles, la ruée vers la voiture autonome ne constitue t-elle pas un danger pour les automobilistes ?

Voir aussi :

Google et Volkswagen s'allient autour de l'informatique quantique, pour développer les transports urbains et les véhicules électriques autonomes

Scandale Volkswagen : l'un des ingénieurs derrière le système pour tromper les tests de pollution a été condamné à 40 mois de prison

[sergio_is_back]

Le problème provient de la conception de base :

Pour des questions de cout les systèmes "d'infodivertissement" et tous les autres partagent le même bus. Ce ne devrai pas être le cas.
Les systèmes "sensibles" en termes de sécurité (freinage, régime moteur, direction, etc...) devraient être isolées de tout le reste (strictement aucune
interconnexion).

"L'infodivertissement" pose également problème en termes d'accidents de la route (dixit certains gendarmes), le conducteur a sans cesse le regard
attiré par des informations diverses (état du trafic, zones de danger, info qu'un mail vient d'arriver dans sans boite, etc...) ce qui distrait le conducteur
d'autant que la plupart des écrans sont placés sur la console centrale, c'est à dire pas dans l'axe de la route.

[Saverok]

Que pensez-vous des vulnérabilités récurrentes découvertes chez les constructeurs automobiles ?

Elles vont être malheurusement de plus en plus fréquente avec l'augmentation de la place de l'électronique à bord des véhicules que l'on souhaite de plus en plus connecté.
Ce problème se pose avec l'ensemble des objets connectés et la voiture n'y échappe malheureusement pas

Avec ces failles, la ruée vers la voiture autonome ne constitue t-elle pas un danger pour les automobilistes ?

Oui et cela ne concerne pas que les voitures.
Quand on sait qu'un piratage info des américains a pu mettre en défaut une centrale iranienne, on ne peut qu'imaginer les dangers que peut représenter une armée de hackers.

[Anselme45]

... l'électronique à bord des véhicules que l'on souhaite de plus en plus connecté.

Est-ce vraiment l'utilisateur qui souhaite une voiture connectée? N'est-ce pas plutôt les constructeurs de voiture qui ont décidé de connecter leur "oeuvres" pour disposer ainsi d'une nouvelle source de cash en offrant de nouveaux services, style abonnement pour mettre à jour les cartes pour le GPS, abonnement pour pouvoir appeler une hotline en cas de problème, etc?

Perso, j'ai beau être dans le "numérique", je peux me limiter à un "auto-radio" et soyons fou à un GPS qui ne nécessite pas un véhicule connecté!

Oui et cela ne concerne pas que les voitures.
Quand on sait qu'un piratage info des américains a pu mettre en défaut une centrale iranienne, on ne peut qu'imaginer les dangers que peut représenter une armée de hackers.

Pour la centrale iranienne, si mes souvenirs sont bons, on n'est pas dans "l'objet connecté". Il y a eu attaque par un virus nommé Stuxnet (extrêmement sophistiqué pouvant s'attaquer aux logiciels de supervision SCADA (Supervisory Control And Data Acquisition) et aux automates programmables industriels Siemens) qui a été déployé sur le site même de la centrale à l'aide d'une clé USB.

Par contre, il est juste de prendre peur pour tout ce qui est connecté avec l'extérieur (l'électronique des voitures ont des accès wifi ou Bluetooth) ou accessible par le web. Dernière info en date: Un état US vient de se rendre compte que ses appareils électroniques de vote utilisés pour les élections présidentielles américaines avaient été "visitées" lors de l'élection de Trump. Ils n'ont pas pu établir si il y a eu modifications des votes ou pas. Une commission du Sénat US a d'ailleurs proposé le retour au bulletin de vote papier pour éviter toute tentative de cyberattaque.

[Saverok]

Est-ce vraiment l'utilisateur qui souhaite une voiture connectée? N'est-ce pas plutôt les constructeurs de voiture qui ont décidé de connecter leur "oeuvres" pour disposer ainsi d'une nouvelle source de cash en offrant de nouveaux services, style abonnement pour mettre à jour les cartes pour le GPS, abonnement pour pouvoir appeler une hotline en cas de problème, etc?

Perso, j'ai beau être dans le "numérique", je peux me limiter à un "auto-radio" et soyons fou à un GPS qui ne nécessite pas un véhicule connecté

Je suis comme toi, je me moque totalement des fonctions connectées de ma voiture.
A partir du moment où je peux connecter mon tel en bluetooth pour utiliser les enceintes de ma voiture et le kit main libre, je me contrefous du reste.
Par contre, l’électronique est quand même partout que ce soit pour l'ABS, la centralisation des portes, le démarrage sans contacte, les radars de stationnement et autres caméras de recul, détecteur de pluie et de luminosité, les régulateurs et limiteurs de vitesse, le franchissement de ligne, les sondes et jauges moteur, ...

Sans même les services à distance, l'électronique est partout

[Anselme45]

Par contre, l’électronique est quand même partout que ce soit pour l'ABS, la centralisation des portes, le démarrage sans contacte, les radars de stationnement et autres caméras de recul, détecteur de pluie et de luminosité, les régulateurs et limiteurs de vitesse, le franchissement de ligne, les sondes et jauges moteur, ...

Sans même les services à distance, l'électronique est partout

C'est vrai que l'électronique est partout mais cela ne veut pas dire que cette électronique est automatiquement piratable! Le problème vient de l'architecture des systèmes électroniques équipant les nouvelles voitures.

Comme déjà dit, si l'électronique de contrôle du véhicule (ABS, détecteurs, etc.) est en circuit fermé sans accès externe et indépendant de la partie multi-media (GPS, radio, téléphone, écran,etc), il n'y aura pas de piratage (à moins bien sûr d'ouvrir le capot pour y placer un mouchard externe branché sur le système interne).

Seulement les constructeurs veulent disposer d'un mouchard et pouvoir accéder aux données techniques du véhicule à distance (toujours dans l'idée de se faire du cash en proposant de nouveaux services), donc l'ensemble de l'électronique du véhicule est accessible depuis l’extérieur et là, c'est la fête aux pirates.

Pour rappel, il y a déjà plusieurs groupes de chercheurs qui ont démontré la possibilité de prendre le contrôle à distance d'une voiture en agissant sur le régime moteur, sur le fonctionnement des freins, etc.

[MikeRowSoft]

Que pensez-vous des vulnérabilités récurrentes découvertes chez les constructeurs automobiles ?

Avec ces failles, la ruée vers la voiture autonome ne constitue t-elle pas un danger pour les automobilistes ?

Quand j'aurais du temps à perdre je vais me renseigner pour savoir si dans mon entourage de personne connu il y en a un qui en à une pour l'en informé. Je pense bien que oui cela étant.
Au moins cela ne semble pas ouvrir les portes et mettre le contact, le neiman est encore utile même ci c'est la même clé "physique" (matièrel chimique regroupé en un gros bloc modelé).

"L'infodivertissement" pose également problème en termes d'accidents de la route (dixit certains gendarmes), le conducteur a sans cesse le regard
attiré par des informations diverses (état du trafic, zones de danger, info qu'un mail vient d'arriver dans sans boite, etc...) ce qui distrait le conducteur
d'autant que la plupart des écrans sont placés sur la console centrale, c'est à dire pas dans l'axe de la route.

Pas de chance pour bison futé... Le siège avant et le tableau de bord du co-pilote... euh... passager va enfin être revisité.

Je peux pas résister.
(Que des informations personnelles, aucune informations privés comme le sont les coordonnées bancaires. )