Les systèmes infotainment de Volkswagen et Audi piratés à distance !

Objets Connectés

Des pen-testeurs hollandais (Computest) ont décidé de partir à la recherche de potentiels problèmes de sécurité dans deux modèles du groupe VAG de 2015, la Volkswagen Golf GTE et une Audi A3 Sportback e-tron.

infotainment

Cette tendance a peut-être échappé à l’attention des acheteurs potentiels, mais les voitures sont récemment devenues des cibles pour les experts en sécurité.

Le dernier exemple de ce défi sportif est venu d’experts hollandais en tests de pénétration chez Computest, et qui ont décidé de partir à la recherche de potentiels problèmes de sécurité dans deux modèles de 2015, la Volkswagen Golf GTE et une Audi A3 Sportback e-tron, tous les deux fabriqués par Volkswagen Audi Group (VAG).

Confirmant leurs intuitions, mais avec un peu d’efforts quand même, ils ont finalement trouvé un moyen d’entrer dans ces deux voitures grâce à un logiciel de service peu sécurisé, et exposé par le biais de l’interface Wi-Fi utilisée par le système Harman In-Vehicle Infotainment (IVI).

Après être entrés dans le système via le Wi-Fi, les experts disposaient d’une plate-forme à partir de laquelle ils pouvaient rechercher d’autres composants vulnérables dans la voiture en question. Après quelques efforts supplémentaires, ils ont trouvé un moyen d’accéder au bus CAN (Control Area Network) de l’IVI.

Cela signifie que:

Sous certaines conditions, les cybercriminels peuvent écouter les conversations du conducteur via son kit mains libres, allumer et éteindre le micro, accéder au carnet d’adresses complet et à l’historique des conversations.  

Et:

Il est également possible de savoir précisément via le système de navigation où le conducteur s’est rendu, et de suivre la voiture en direct, quelle que soit sa position à un moment donné.  

La voiture utilise un autre bus CAN à accès rapide pour les communications critiques du véhicule telles que la direction, le déverrouillage des portières, l’assistance au stationnement et, enfin, le freinage.

Ce bus CAN à accès rapide est précisément un composant éloigné du bus CAN IVI compromis : les deux sont séparés par une passerelle de bus CAN qui agit comme un pare-feu entre les deux.

C’est ici que les experts se sont arrêtés.

… nous avons décidé d’interrompre nos recherches à ce stade, car cela aurait pu compromettre la propriété intellectuelle du fabricant et potentiellement enfreindre la loi.  

… le vecteur d’attaque actuel ne constituait pas une menace directe pour la sécurité du conducteur. Cependant, si une vulnérabilité exploitable au sein de la passerelle devait être trouvée, alors l’impact augmenterait de manière considérable.

Ainsi, les experts ont stoppé leurs tentatives visant à pénétrer les systèmes les plus critiques des voitures, bien qu’ils aient réussi à faire tomber la plupart des barrières, mais certes pas toutes, entre le véhicule et le monde extérieur.

Les experts ont rapporté leurs conclusions à VAG, qui semble avoir pris la question suffisamment au sérieux pour les inviter à venir à son siège en Allemagne pour les présenter.

L’entreprise a déclaré plus tard qu’elle avait corrigé les failles qui permettaient l’accès, bien que cela ne réglerait en réalité le problème que pour les nouvelles voitures fabriquées à partir du moment où l’image du firmware devenait disponible.

Finalement, cette recherche nous montré que l’industrie automobile n’est pas si différente de la plupart des autres secteurs qui commercialisent des objets connectés (IoT).

Tout d’abord, il n’existe pas, en général, un mécanisme de mise à jour à distance. La seule façon de résoudre un problème sérieux est de demander à chaque conducteur de se rendre chez un concessionnaire pour une mise à jour du système, une tâche énormément coûteuse et chronophage.

Ensuite, se pose la question de savoir si ces systèmes sont correctement testés vis-à-vis de potentiels piratages. Le fait que deux pen-testeurs aient pu entrer dans le système infotainment laisse penser que tout n’est pas optimal au niveau sécurité. Le même constat peut être fait concernant l’absence d’un système par lequel les constructeurs automobiles informent les propriétaires sur les problèmes de sécurité potentiels dans les logiciels de leurs véhicules.

La plus grande faiblesse de toute est que peu de constructeurs automobiles semblent avoir un processus de divulgation responsable, permettant à des experts de communiquer avec eux au sujet de problèmes de sécurité découverts.

Les experts ont souligné, de façon inquiétante :

Les pirates éthiques ne devraient pas être menacés mais plutôt encouragés à divulguer leurs découvertes au fabricant.  

Il s’agit d’un véritable angle mort chez les constructeurs automobiles, qu’il faut corriger absolument, peut-être grâce à des programmes de type Bug Bounty, couramment utilisés par les principaux éditeurs de logiciels.


Billet inspiré de Volkswagen and Audi car infotainment systems hacked remotely, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.