{"id":6730,"date":"2017-02-16T21:00:05","date_gmt":"2017-02-16T21:00:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=6730"},"modified":"2017-09-24T11:50:10","modified_gmt":"2017-09-24T11:50:10","slug":"rsa-connected-cars","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rsa-connected-cars\/6730\/","title":{"rendered":"Android pour les voitures : est-ce vraiment s\u00fbr ?"},"content":{"rendered":"

Dans le film Eh mec\u00a0! <\/em>Elle est o\u00f9 ma caisse\u00a0? <\/em>(2000), les t\u00e9l\u00e9spectateurs suivent l\u2019histoire humoristique de deux mecs qui ont trop fait la f\u00eate et ne se rappellent plus o\u00f9 ils ont gar\u00e9 leur voiture. On est tous pass\u00e9s par l\u00e0, bon peut-\u00eatre pas au point des personnages du film. Levez la main si vous avez d\u00e9j\u00e0 oubli\u00e9 o\u00f9 vous \u00e9tiez gar\u00e9 \u00e0 un concert, un centre commercial, ou un supermarch\u00e9.<\/p>\n

\"Android<\/a><\/p>\n

17 ans plus tard, il existe des apps pour tout, m\u00eame pour votre voiture. Si une application rend la vie plus facile, il y a de fortes chances pour que quelqu\u2019un la d\u00e9veloppe et que de nombreuses personnes l\u2019utilisent.<\/p>\n

Ces derni\u00e8res ann\u00e9es, le concept des voitures connect\u00e9es n\u2019a cess\u00e9 d\u2019\u00e9voluer, et est devenu r\u00e9alit\u00e9. Lors de la RSA Conference de San Francisco, nos chercheurs anti-malware Victor Chebyshev et Mikhail Kuzin ont pr\u00e9sent\u00e9 leurs recherches portant sur sept applications populaires de v\u00e9hicules.<\/p>\n

Les applications semblent simplifier la vie des utilisateurs en reliant leurs appareils Android \u00e0 leurs automobiles, cependant on se pose la question suivante\u00a0: n\u00e9glige-t-on la s\u00e9curit\u00e9 au profit de la commodit\u00e9\u00a0? Et comme pour beaucoup d\u2019appareils connect\u00e9s de l\u2019Internet des Objets<\/a>, la r\u00e9ponse est, la s\u00e9curit\u00e9 doit \u00eatre davantage une priorit\u00e9 pour les d\u00e9veloppeurs et les fabricants.<\/p>\n

\"The<\/a><\/p>\n

Les fonctions principales de ces applications sont d\u2019ouvrir les portes et dans de nombreux cas de d\u00e9marrer le v\u00e9hicule. Malheureusement, des failles sur des apps pourraient \u00eatre exploit\u00e9es par des hackers\u00a0:<\/p>\n

Pas de protection contre la r\u00e9tro-ing\u00e9nierie de l\u2019application<\/strong>. Par cons\u00e9quent, les malfaiteurs peuvent se retrancher et trouver des vuln\u00e9rabilit\u00e9s qui leur donnent acc\u00e8s \u00e0 l\u2019infrastructure du serveur ou au syst\u00e8me multim\u00e9dia de la voiture.<\/p>\n

Pas de v\u00e9rification de l\u2019int\u00e9grit\u00e9 du code.<\/strong> Ceci permet aux cybercriminels d\u2019int\u00e9grer leur propre code sur l\u2019application, en ajoutant des capacit\u00e9s malveillantes et en rempla\u00e7ant le programme original par un faux sur l\u2019appareil de l\u2019utilisateur.<\/p>\n

Pas de techniques de d\u00e9tection de root. <\/strong>Les droits root donnent aux chevaux de Troie des capacit\u00e9s presque illimit\u00e9es et laissent l\u2019application sans d\u00e9fense.<\/p>\n

Manque de protection contre les techniques de recouvrement.<\/strong> Cela permet aux applications malveillantes de montrer des fen\u00eatres d\u2019hame\u00e7onnage en haut des fen\u00eatres des applications originales, en pi\u00e9geant les utilisateurs qui saisissent leurs identifiants, et qui sont ensuite envoy\u00e9s aux cybercriminels.<\/p>\n

Stockage des identifiants et des mots de passe en texte clair. <\/strong>En se servant de cette faiblesse, un hacker peut d\u00e9tourner des donn\u00e9es d\u2019utilisateurs de fa\u00e7on relativement facile.<\/p>\n

Une fois l\u2019exploitation r\u00e9ussie, un hacker est en mesure de prendre le contr\u00f4le de la voiture, d\u00e9bloquer les portes, d\u00e9sactiver l\u2019alarme de s\u00e9curit\u00e9, et th\u00e9oriquement, de voler le v\u00e9hicule.<\/p>\n

Les chercheurs ont d\u00e9voil\u00e9 leurs d\u00e9couvertes aux d\u00e9veloppeurs (ils n\u2019ont pas r\u00e9v\u00e9l\u00e9 de noms d\u2019apps publiquement) et leur ont \u00e9galement indiqu\u00e9 qu\u2019aucune exploitation n\u2019avait \u00e9t\u00e9 observ\u00e9e dans la nature. Un rapport complet et d\u00e9taill\u00e9 est disponible sur Securelist, o\u00f9 chacune des applications est \u00e9valu\u00e9e.<\/p>\n

Il est facile de faire la sourde oreille, en pensant que vous ne pourrez pas \u00eatre pirat\u00e9 ou que c\u2019est de la science-fiction, mais la v\u00e9rit\u00e9 est que depuis son invention, l\u2019automobile est une cible pour les cybercriminels. Et s\u2019il existe un piratage pour rendre les choses plus faciles, imaginez rien qu\u2019un seul instant les possibilit\u00e9s.<\/p>\n

Un autre \u00e9l\u00e9ment \u00e0 garder \u00e0 l\u2019esprit est qu\u2019on a d\u00e9j\u00e0 vu des vuln\u00e9rabilit\u00e9s permettre \u00e0 des hackers blancs de contr\u00f4ler des voitures via des \u00ab\u00a0vuln\u00e9rabilit\u00e9s b\u00e9nignes\u00a0\u00bb. Deux histoires importantes ont marqu\u00e9 l\u2019automobile ces deux derni\u00e8res<\/a> ann\u00e9es<\/a> avec le contr\u00f4le d\u2019une Jeep par Charlie Miller<\/a> et Chris Valasek<\/a> gr\u00e2ce \u00e0 des vuln\u00e9rabilit\u00e9s.<\/p>\n

\n

#BlackHat<\/a> 2015: The full story of how that Jeep was hacked https:\/\/t.co\/y0d6k8UE4n<\/a> #bhUSA<\/a> pic.twitter.com\/SWulPz4Et7<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) August 7, 2015<\/a><\/p><\/blockquote>\n