Systèmes d’alarme de voitures intelligentes piratés

27 Mar 2019

Les spécialistes en sécurité de l’information de Pen Test Partners ont piraté une voiture en utilisant son alarme. Par ailleurs, les chercheurs ont piraté des systèmes de sécurité largement utilisés : Pandora et SmartStart de Viper. Selon leurs estimations, près de 3 millions de voitures en sont équipées.

Ces systèmes sont utiles, mais sont-ils sûrs ?

En théorie, les systèmes antivols intelligents ne sont pas de simples alarmes. Ils peuvent vous aider même si le véhicule a été volé. Par exemple, ils vous permettent de le suivre, de couper le moteur, ou encore de verrouiller les portières en attendant l’arrivée de la police. Tout cela à partir d’une simple application installée sur votre smartphone. Utile ? Sans aucun doute. Sûr ? Les fabricants prétendent avoir créé ces systèmes pour augmenter la sécurité des véhicules de façon significative.

Les voleurs peuvent désormais voler votre voiture, mais aussi bien d’autres choses.

Après avoir piraté votre compte et s’être connecté à l’application en utilisant votre nom, un cybercriminel peut avoir accès à une quantité inimaginable de données et à toutes les fonctions de l’alarme intelligente. Une simple modification du mot de passe peut vous bloquer l’accès au système. L’escroc pourra alors :

  • Suivre tous les mouvements du véhicule,
  • Activer et désactiver le système d’alarme,
  • Verrouiller et déverrouiller les portières,
  • Activer et désactiver le système antidémarrage, un outil antivol qui empêche le moteur de démarrer,
  • Couper le moteur, et ce même lorsque le véhicule est en mouvement.

Dans le cas des alarmes Pandora, les cybercriminels peuvent aussi écouter les conversations des occupants du véhicule à travers le microphone du système antivol, initialement pensé pour les appels d’urgence. N’oubliez pas qu’il vous est impossible de riposter, puisque seul le cybercriminel peut accéder au système. Ces nouveaux outils ne semblent plus si géniaux, n’est-ce pas ?

Pirater un système intelligent ne prend que quelques secondes

L’équipe de recherche a découvert qu’il est possible, et plutôt facile, de pirater le compte utilisateur d’un système d’alarme intelligent. Pour dérober un compte Viper ou Pandora, l’escroc n’a même pas besoin d’acheter l’alarme, qui coûte tout de même 5 000 dollars. Au moment de cette étude, la personne n’avait qu’à créer un compte sur le site Internet, ou l’application, pour avoir accès au système, puis s’en servir pour accéder à n’importe quel autre compte.

Les problèmes détectés dans les deux systèmes sont similaires, et sont liés à l’interaction de l’application avec le serveur. En revanche, le mécanisme d’attaque est légèrement différent. Avec Viper, l’intrus peut modifier les identifiants de l’utilisateur en envoyant une demande spéciale au serveur qui conserve toutes les données.

Le système de Pandora est un peu plus perspicace puisqu’il ne permet pas à n’importe qui de réinitialiser le mot de passe. Cependant, le cybercriminel peut modifier l’adresse e-mail associée au profil sans autorisation, puis l’utiliser pour demander la réinitialisation du mot de passe de façon parfaitement légitime.

Que faire ?

Ne paniquez pas ! Les chercheurs ont évidemment communiqué leurs découvertes aux fabricants qui ont rapidement réagi et corrigé toutes les failles en quelques jours.

Avant que cette étude ne soit réalisée, les véhicules équipés d’alarmes intelligentes étaient en réalité moins sûrs que ceux qui n’en avaient pas. Il est plutôt rare de voir que les développeurs en Internet des Objets suivent les conseils des experts en cybersécurité avec autant de rapidité et d’efficacité. Nous vous conseillons donc, comme d’habitude, de faire attention lorsque vous utilisez des solutions intelligentes, surtout lorsque les systèmes de sécurité sont en jeu.