IoT

Systèmes d’alarme de voitures intelligentes piratés

Les systèmes conçus pour empêcher le vol de voitures peuvent être utilisés pour suivre, immobiliser, et voler un véhicule.

Leonid Grustniy
27 Mar 2019

Les spécialistes en sécurité de l’information de Pen Test Partners ont piraté une voiture en utilisant son alarme. Par ailleurs, les chercheurs ont piraté des systèmes de sécurité largement utilisés : Pandora et SmartStart de Viper. Selon leurs estimations, près de 3 millions de voitures en sont équipées.

Ces systèmes sont utiles, mais sont-ils sûrs ?

En théorie, les systèmes antivols intelligents ne sont pas de simples alarmes. Ils peuvent vous aider même si le véhicule a été volé. Par exemple, ils vous permettent de le suivre, de couper le moteur, ou encore de verrouiller les portières en attendant l’arrivée de la police. Tout cela à partir d’une simple application installée sur votre smartphone. Utile ? Sans aucun doute. Sûr ? Les fabricants prétendent avoir créé ces systèmes pour augmenter la sécurité des véhicules de façon significative.

Les voleurs peuvent désormais voler votre voiture, mais aussi bien d’autres choses.

Après avoir piraté votre compte et s’être connecté à l’application en utilisant votre nom, un cybercriminel peut avoir accès à une quantité inimaginable de données et à toutes les fonctions de l’alarme intelligente. Une simple modification du mot de passe peut vous bloquer l’accès au système. L’escroc pourra alors :

Suivre tous les mouvements du véhicule,
Activer et désactiver le système d’alarme,
Verrouiller et déverrouiller les portières,
Activer et désactiver le système antidémarrage, un outil antivol qui empêche le moteur de démarrer,
Couper le moteur, et ce même lorsque le véhicule est en mouvement.

Dans le cas des alarmes Pandora, les cybercriminels peuvent aussi écouter les conversations des occupants du véhicule à travers le microphone du système antivol, initialement pensé pour les appels d’urgence. N’oubliez pas qu’il vous est impossible de riposter, puisque seul le cybercriminel peut accéder au système. Ces nouveaux outils ne semblent plus si géniaux, n’est-ce pas ?

Pirater un système intelligent ne prend que quelques secondes

L’équipe de recherche a découvert qu’il est possible, et plutôt facile, de pirater le compte utilisateur d’un système d’alarme intelligent. Pour dérober un compte Viper ou Pandora, l’escroc n’a même pas besoin d’acheter l’alarme, qui coûte tout de même 5 000 dollars. Au moment de cette étude, la personne n’avait qu’à créer un compte sur le site Internet, ou l’application, pour avoir accès au système, puis s’en servir pour accéder à n’importe quel autre compte.

Les problèmes détectés dans les deux systèmes sont similaires, et sont liés à l’interaction de l’application avec le serveur. En revanche, le mécanisme d’attaque est légèrement différent. Avec Viper, l’intrus peut modifier les identifiants de l’utilisateur en envoyant une demande spéciale au serveur qui conserve toutes les données.

Le système de Pandora est un peu plus perspicace puisqu’il ne permet pas à n’importe qui de réinitialiser le mot de passe. Cependant, le cybercriminel peut modifier l’adresse e-mail associée au profil sans autorisation, puis l’utiliser pour demander la réinitialisation du mot de passe de façon parfaitement légitime.

Que faire ?

Ne paniquez pas ! Les chercheurs ont évidemment communiqué leurs découvertes aux fabricants qui ont rapidement réagi et corrigé toutes les failles en quelques jours.

Avant que cette étude ne soit réalisée, les véhicules équipés d’alarmes intelligentes étaient en réalité moins sûrs que ceux qui n’en avaient pas. Il est plutôt rare de voir que les développeurs en Internet des Objets suivent les conseils des experts en cybersécurité avec autant de rapidité et d’efficacité. Nous vous conseillons donc, comme d’habitude, de faire attention lorsque vous utilisez des solutions intelligentes, surtout lorsque les systèmes de sécurité sont en jeu.

ShadowHammer : des mises à jour malveillantes sur les ordinateurs portables ASUS

Nos technologies ont détecté une menace qui semble être une des attaques de la chaîne d’approvisionnement les plus importantes jamais détectée.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Systèmes d’alarme de voitures intelligentes piratés

Ces systèmes sont utiles, mais sont-ils sûrs ?

Pirater un système intelligent ne prend que quelques secondes

Que faire ?

La sécurité en robotique

Protéger les dispositifs IoT en entreprise

ShadowHammer : des mises à jour malveillantes sur les ordinateurs portables ASUS

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky