ven. Sep 20th, 2024
Hyundai : vol de voiture possible via l’adresse e-mail du propriétaire
Rate this post

Les véhicules Hyundai construits après 2012 peuvent être déverrouillés et démarrés en utilisant uniquement l’adresse e-mail du propriétaire.

Aujourd’hui, de nombreux constructeurs automobiles utilisent parfois des applications pour smartphone pour lire les données du véhicule et permettre à leurs clients de contrôler à distance certaines fonctions du véhicule. Un exemple actuel de Hyundai montre que la communication entre l’application et la voiture peut rapidement devenir une passerelle pour les attaquants. Mais la situation n’est pas meilleure non plus pour les autres constructeurs.

Communication non sécurisée entre les applications et les véhicules à moteur

Les chercheurs en sécurité ont découvert une vulnérabilité qui permet aux attaquants de déverrouiller et de démarrer à distance les véhicules Hyundai et Genesis fabriqués depuis 2012. L’attaque est menée en interférant avec la communication entre les applications MyHyundai et MyGenesis et le serveur du constructeur automobile.

Les deux applications pour smartphone permettent à un utilisateur authentifié de démarrer et d’arrêter le moteur de sa voiture. De plus, le véhicule peut être verrouillé et déverrouillé. Et la télécommande du klaxon et des feux du véhicule est également possible.

Les chercheurs de Yuga Labs ont analysé le trafic et ont constaté que les applications reconnaissent le propriétaire du véhicule Hyundai ou Genesis par leur adresse e-mail. Les experts en sécurité ont donc envoyé une requête HTTP manipulée avec une fausse adresse e-mail au serveur Hyundai.

Ce faisant, ils ont parfois profité du fait que MyHyundai n’exige pas de confirmation de l’adresse e-mail pour l’inscription. Cela leur a permis de faire semblant d’être le propriétaire du véhicule et de déverrouiller les portes et de démarrer le moteur.

Enfin, les chercheurs ont versé leurs découvertes dans un script Python. Tout ce dont il a besoin pour mener à bien l’attaque est l’adresse e-mail du propriétaire du véhicule.

En plus de Hyundai, de nombreux autres fabricants font confiance aux services de SiriusXM

Cette constatation pourrait également devenir un véritable problème pour d’autres constructeurs automobiles. Parce que Hyundai utilise la technologie SiriusXM pour son application mobile pour gérer à distance ses véhicules, qui selon BleepingComputer est utilisée par plus de 15 constructeurs automobiles.

Par exemple, Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota utilisent également les services SiriusXM.

Prenant l’exemple de l’application Nissan, les chercheurs ont alors découvert que ce constructeur permettait également d’exécuter des commandes ou de récupérer des informations sensibles à l’aide de fausses requêtes HTTP. Tout ce qui est requis est le numéro d’identification du véhicule (VIN), qui est généralement très facile à trouver sur une voiture en stationnement.

Le serveur a craché à la suite d’un requête manipulée parfois des données personnelles du propriétaire du véhicule telles que son nom, son numéro de téléphone et son adresse.

Hyundai et SiriusXM répondent avec les phrases habituelles

Selon Hyundai, il n’y a aucun cas connu d’utilisation abusive de véhicules de clients en raison des problèmes découverts par les chercheurs.

Et un porte-parole de SiriusXM a également souligné que la vulnérabilité n’avait jusqu’à présent eu aucun impact sur les clients du groupe. La société a également cité son propre programme de primes aux bogues et ses collaborations avec des chercheurs indépendants et des fournisseurs tiers.

Hyundai : vol de voiture possible via l’adresse e-mail du propriétaire