Avez-vous besoin d’un patch de sécurité pour le système embarqué de votre BMW ?

Cybersécurité

Si vous êtes propriétaire d’une BMW, préparez-vous à installer un patch de sécurité au niveau du système embarqué de votre véhicule ! Des chercheurs chinois ont trouvé 14 failles de sécurité touchant de nombreux modèles.

patch de securite

Si vous êtes propriétaire d’une BMW, préparez-vous à installer un patch de sécurité au niveau du système embarqué de votre véhicule ! Des chercheurs chinois ont trouvé 14 failles de sécurité touchant de nombreux modèles.

Les modèles concernés (certains datant même de 2012) sont les BMW Série i, Série X, Série 3, Série 5 et Série 7, avec un total de sept vulnérabilités suffisamment sérieuses pour recevoir des numéros CVE.

Les vulnérabilités se situent dans la Telematics Control Unit (TCB), le Central Gateway Module et la Head Unit, à travers une série d’interfaces, telles que GSM, BMW Remote Service, BMW ConnectedDrive, Remote Diagnosis, NGTP, Bluetooth et USB/OBD-II .

Certaines nécessitent un accès local (par exemple via une connexion USB) pour être exploitées mais six d’entre elles, y compris la faille Bluetooth, étaient accessibles à distance, ce qui les rendait encore plus sérieuses.

Les propriétaires devraient-ils craindre que ces failles de sécurité, au niveau du système embarqué, ne puissent être exploitées, mettant ainsi en danger les conducteurs et les véhicules ?

Sur la base de la description technique, cela semble improbable, bien que le code complet de la preuve de concept de Keen Lab ne sera pas publié avant 2019.

Keen Lab a expliqué que son piratage permettait de lancer :

Une exécution à distance de demandes de diagnostic arbitraires et non autorisées des systèmes BMW embarqués. 

BMW a répondu :

BMW Group a déjà mis en place des mesures de sécurité qui sont en cours de déploiement via des mises à jour de configuration à distance. Des améliorations de sécurité supplémentaires pour les systèmes infotainment concernés sont en cours de développement et seront disponibles sous forme de mises à jour logicielles pour les clients.

En d’autres termes, certaines corrections ont déjà été faites, tandis que d’autres seront disponibles au plus tard début 2019, ce qui pourrait nécessiter de se rendre chez un concessionnaire.

Un grand bravo à BMW pour avoir rapidement répondu à cette recherche, mais le communiqué de presse publié dans la foulée ressemble plus à une opération de communication.

Pour la plupart des outsiders, il s’agit d’un cas de white hats chinois trouvant des vulnérabilités dans le système embarqué BMW.

Pour BMW, à en juger par la syntaxe triomphale de son communiqué de presse, cela donne l’impression que tout était prévu, jusqu’à l’attribution à Keen Lab du “tout premier prix BMW pour la Digitalization and IT Research”.

Plus probablement, les constructeurs automobiles sont pris au dépourvu face à l’attention que leurs systèmes embarqués reçoivent de la part des chercheurs. En effet, Volkswagen Audi Group a éprouvé la même gêne il y a quelques semaines lorsque le groupe a été ciblé par des chercheurs hollandais. BMW en a déjà fait l’expérience, il y a trois ans, elle a été confrontée à une faille de sécurité embarrassante dans les systèmes de verrouillage des portes du logiciel ConnectedDrive.

Ne soyons pas trop désolés pour les constructeurs automobiles, car ce sont les propriétaires qui doivent s’adapter le plus à leurs attentes, les failles logicielles et les correctifs ne se limitent plus aux seuls ordinateurs !


Billet inspiré de Does your BMW need a security patch?, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.