Un groupe de hackers dirigé par Sam Curry fait passer des nuits blanches à divers constructeurs automobiles depuis l’automne dernier.

Qu’ont en commun Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infinity, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Reviver, Rolls Royce, SiriusXM, Spireon et Toyota ? Ils ont été attaqués au cours de l’année écoulée par des whitehats qui ont ciblé les systèmes de télémétrie pour les vulnérabilités.

Les scooters électriques comme source d’idées

Lors d’une visite à l’Université du Maryland, les pirates ont remarqué que tout le campus était couvert de scooters électriques ; une image que tous ceux qui ont visité une grande ville ces dernières années connaissent probablement. Peu de gens savent, cependant, que ces scooters peuvent être faits pour klaxonner et faire clignoter leurs klaxons à distance.

Nous y avons réfléchi pendant un moment, puis nous nous sommes rendu compte que pratiquement toutes les voitures produites au cours des 5 dernières années avaient des fonctionnalités similaires.

Sam Curry sur son blog

Données clients constructeurs automobiles à emporter

Les chercheurs ont réussi à couper le moteur à distance chez huit des constructeurs automobiles. Chez d’autres fabricants, ils ont réussi à compromettre les systèmes internes et, dans certains cas, à accéder à de grandes quantités de données utilisateur. Voulez-vous un avant-goût?

BMW a eu la gentillesse d’informer les attaquants de tous les terminaux du portail des employés. Il était alors possible de générer une liste complète de tous les utilisateurs via l’un de ces points de terminaison ; Mieux encore, ils ont trouvé un point de terminaison qui affichait même le TOTP actuel d’un utilisateur (algorithme de mot de passe à usage unique basé sur le temps). Cela a permis aux attaquants de détourner les comptes des employés dans l’environnement SSO.

Mais ce n’est pas seulement BMW qui a des problèmes avec sa solution SSO ; Un autre constructeur automobile allemand semble également avoir des problèmes avec cela : Mercedes-Benz. Chez la célèbre marque automobile à l’étoile, les hackers ont pu accéder à l’instance GitHub via un compte d’atelier. Lorsque Mercedes a été mis au courant de cela, une réponse inattendue est venue en premier : ils devraient montrer quels effets cela aurait. L’équipe n’a pas eu besoin d’être interrogée deux fois et a trouvé l’exécution de code à distance, diverses applications internes et l’instance Mattermost de Mercedes dans laquelle ils pouvaient rejoindre n’importe quel canal.

Une liste complète est disponible dans le blog de Sam Curry et je recommande vivement cet article aux lecteurs anglophones.

classification

La télémétrie est intégrée à presque tous les appareils de nos jours, et cette technologie semble devenir de plus en plus invasive. Il est donc très inquiétant de voir que ces données sensibles et l’accès approfondi associé à la vie des utilisateurs sont traités avec tant de légèreté. On ne peut qu’espérer que ce signal d’alarme pour les constructeurs automobiles se traduira par un changement fondamental des pratiques, mais en regardant la trajectoire de ces dernières années, cela semble presque ridiculement naïf.