Est-ce que les applications automobiles connectées sont sûres ?

Il y a plusieurs mois, nos experts ont trouvé plusieurs vulnérabilités dans des applications Android qui permettaient aux utilisateurs de contrôler leurs voitures à distance. Qu’est-ce qui a changé depuis ?

L’idée d’utiliser une application pour contrôler votre voiture à distance est très alléchante. Il fait froid dehors ? Démarrez le moteur alors que vous êtes encore sous la couette, et quand vous partirez de la maison, la voiture sera bien chaude. Au contraire, s’il fait chaud, vous pouvez démarrer le moteur et lancer la climatisation. Et si vous ne vous souvenez plus où vous vous êtes garé, la voiture pourra vous envoyer les coordonnées GPS par l’application mobile.

Tout cela est très tentant, et c’est pour cela que de plus en plus de modèles de voitures supportent le contrôle par application mobile. Mais est-ce que tout cela est sûr ? Les experts de Kaspersky Lab ont réalisé une étude en deux étapes pour comprendre cet aspect spécifique de la sécurité.

Recherche sur la sécurité des applications de voitures connectées

La première étape de l’étude a eu lieu fin 2016. Lors de la conférence RSA de février, les analystes anti-virus Mikhail Kuzin et Viktor Chevyshev ont présenté un rapport appelé ‘Applications mobiles et vol de voitures connectées’. Les experts ont analysé les applications Android qui permettent aux utilisateurs de contrôler à distance des voitures connectées, déverrouiller les portes, démarrer le moteur, trouver des voitures sur une carte, voir les indications du tableau de bord, etc.

Nos experts ont analysé neuf applications mobiles des plus grands fabricants de voitures pour tester leur protection. Leur but était d’évaluer si ces applications sont protégées contre les trois types d’attaques typiques utilisées par les applications Android malveillantes : obtenir les permissions root de l’appareil (rooting), revêtir l’interface de l’application par une fausse fenêtre et injecter du code malveillant dans une application de voiture connectée légitime.

Tout d’abord, il nous faut comprendre pourquoi ces attaques sont dangereuses.

Vecteurs d’attaque potentiels

Rooting
En mode de fonctionnement standard, toutes les applications Android stockent des données, y compris des données de valeur comme les identifiants de connexion, les mots de passe et d’autres informations dans des sections isolées de la mémoire auxquelles les autres applications ne peuvent pas accéder. Le rooting interrompt ce mécanisme de sécurité : Avec un accès root, une application malveillante peut avoir accès à des données stockées par d’autres applications et les voler.

De nombreux types de malwares en tirent profit. Presque 30 % des malwares courants sur Android peuvent utiliser des vulnérabilités du système d’exploitation pour accéder au root. En plus, de nombreux utilisateurs simplifient le travail des virus et rootent leurs périphériques Android eux-mêmes — c’est quelque chose que nous recommandons de ne pas faire si vous n’êtes pas absolument sûr que vous savez protéger un smartphone ou une tablette rootés.

Revêtement de l’interface de l’application
Ce truc marche de manière très simple. Les malwares font un suivi des applications quand l’utilisateur les ouvre et dès qu’il ouvre une application que le malware connaît, il remplace la fenêtre de l’application par une fenêtre similaire ou même identique. Ce processus est instantané ; l’utilisateur n’a donc pas l’opportunité de voir quelque chose de suspect.

Ensuite, quand l’utilisateur insère des informations dans la fausse fenêtre en pensant qu’il interagit avec une application de confiance, le malware vole les identifiants de connexion, les mots de passe, les numéros de carte bancaire et toutes autres informations d’intérêt pour les hackers.

Le truc du remplacement de l’interface de l’application est compris dans l’arsenal des chevaux de Troie des banques en ligne. Mais ils ne se limitent pas à la banque : les créateurs de ces chevaux de Troie ne collectent plus uniquement que des données pour les applications de banque en ligne. En effet, ils créent maintenant de fausses fenêtres pour un grand nombre d’applications où l’utilisateur insère des numéros de carte bancaire ou d’autres informations intéressantes.

La liste des applications imitées est très longue : plusieurs systèmes de paiement en ligne et applications de messagerie populaires, applications d’achat de billets d’avion et de réservations de chambre d’hôtel, le Google Play store et Android Pay, des applications de paiement d’amendes, et bien d’autres. Récemment, les créateurs de l’un de ces chevaux de Troie ont commencé à voler des informations de paiement d’applications de taxi.

Introduction de malwares
Les hackers peuvent aussi prendre une application légitime, déterminer comment elle fonctionne, ajouter du code malveillant tout en préservant les fonctions de l’application d’origine et la diffuser sur Google Play ou d’autres canaux (en particulier en utilisant des publicités malveillantes sur Google AdSense).

Pour les empêcher d’utiliser cette technique, les développeurs d’applications doivent s’assurer qu’inverser la conception de leurs applications et y injecter un code malveillant soit aussi long (et donc peu rentable) que possible. Les développeurs utilisent des techniques très connues pour ren-forcer leurs applications. Dans un monde parfait, tous les développeurs les utiliseraient pour déve-lopper des applications qui traitent des données sensibles d’utilisateurs, mais ce n’est malheureu-sement pas toujours le cas.

Menace principale

En utilisant les méthodes susmentionnées, des applications malicieuses peuvent voler des identifiants d’utilisateurs et des mots de passe ainsi que des codes PIN tout comme le numéro unique d’identification d’un véhicule (VIN) – c’est-à-dire, tout ce dont vous avez besoin pour vous authentifier dans l’application.

Une fois que les criminels obtiennent ces données, tout ce qu’ils ont à faire, c’est d’installer l’application correspondante sur leur propre smartphone, et ils seront ensuite capables de déverrouiller les portes (toutes les applications ont cette fonctionnalité) ou même de démarrer le moteur (toutes les applications ne le permettent pas, mais c’est assez courant) et voler la voiture, ou encore suivre les mouvements du propriétaire de la voiture.

Cette menace n’est plus seulement théorique : on trouve régulièrement des publicités de vente et d’achat d’informations de comptes d’utilisateurs véritables pour les applications de voitures connectées. Les prix de ces données sont étonnamment élevés – bien plus que ce que les criminels paient habituellement pour un vol de données de carte de crédit.

Publicité de forums du Darknet pour acheter et vendre des informations de compte d’applications de voiture.

Les cybercriminels répondent rapidement aux nouvelles opportunités de gagner de l’argent, et l’usage courant de malwares attaquant des applications de voitures connectées ne tardera donc pas.

Partie 1 : 9 applications de voitures connectées, 0 protégée contre les malwares

Lorsque la première partie de la recherche a été publiée début 2017, des experts ont examiné neuf applications de voitures connectées développées par les plus grands constructeurs et ont découvert qu’aucune de ces applications n’était protégée contre les menaces dont nous avons parlé.

Nous le répétons : les 9 applications que nous avons étudiées étaient vulnérables aux attaques les plus courantes.

Les experts de Kaspersky Lab ont contacté les constructeurs automobiles et leur ont parlé des problèmes avant de publier les résultats.

Partie 2 : 13 applications de voitures connectées, 1 protégée contre certains malwares

Suivre le développement des événements est toujours intéressant. Il y a quelques jours, Mikhail Kuzin a présenté la deuxième partie du rapport à l’IAA 2017, le Salon de l’automobile de Francfort.

L’expert a ajouté quatre applications à la liste et les a toutes examinées, en testant donc 13 programmes en tout. Seule l’une des nouvelles applications était protégées — et seulement contre l’un des trois types d’attaque (si elle détecte que le téléphone a été rooté, elle refuse de fonctionner).

Pire encore : la nouvelle inspection a montré que les neuf applications d’origine étaient toujours vulnérables. Plusieurs mois après la découverte du problème, les développeurs n’avaient rien amélioré. De plus, certaines de ces applications n’avaient absolument pas été mises à jour.

Malheureusement, les constructeurs automobiles n’ont toujours pas l’expérience requise pour implanter une bonne cybersécurité, malgré leurs connaissances et leur talent pour construire des voitures.

Ils ne sont pas les seuls. Ce problème est typique des fabricants d’autres dispositifs électroniques intelligents et connectés. Dans le cas des voitures, cependant, le problème semble plus urgent et sérieux car des piratages pourraient causer des pertes de dizaines de milliers de dollars ou même mettre des vies en danger.

Heureusement, l’expertise en cybersécurité n’a pas à être acquise en interne, et il n’est pas nécessaire de refaire les mêmes erreurs. Nous serions heureux de travailler avec des constructeurs automobiles et de les aider à résoudre des problèmes avec des applications et d’autres éléments numériques.

Et si vous craignez que votre smartphone ne devienne accessible pour des criminels, vous devriez installer une protection fiable sur votre téléphone pour détecter et bloquer les malwares avant qu’ils n’interceptent des informations importantes.

Conseils