![](\"https:\/\/cdn.securelist.com\/files\/2017\/02\/cars_research_en_1.png\")
<\/p>\nL’id\u00e9e d’utiliser une application pour contr\u00f4ler votre voiture \u00e0 distance est tr\u00e8s all\u00e9chante. Il fait froid dehors ? D\u00e9marrez le moteur alors que vous \u00eates encore sous la couette, et quand vous partirez de la maison, la voiture sera bien chaude. Au contraire, s’il fait chaud, vous pouvez d\u00e9marrer le moteur et lancer la climatisation. Et si vous ne vous souvenez plus o\u00f9 vous vous \u00eates gar\u00e9, la voiture pourra vous envoyer les coordonn\u00e9es GPS par l’application mobile.<\/p>\n
Tout cela est tr\u00e8s tentant, et c’est pour cela que de plus en plus de mod\u00e8les de voitures supportent le contr\u00f4le par application mobile. Mais est-ce que tout cela est s\u00fbr ? Les experts de Kaspersky Lab ont r\u00e9alis\u00e9 une \u00e9tude en deux \u00e9tapes pour comprendre cet aspect sp\u00e9cifique de la s\u00e9curit\u00e9.<\/p>\n
La premi\u00e8re \u00e9tape de l’\u00e9tude a eu lieu fin 2016. Lors de la conf\u00e9rence RSA de f\u00e9vrier, les analystes anti-virus Mikhail Kuzin et Viktor Chevyshev ont pr\u00e9sent\u00e9 un rapport appel\u00e9 ‘Applications mobiles et vol de voitures connect\u00e9es’. Les experts ont analys\u00e9 les applications Android qui permettent aux utilisateurs de contr\u00f4ler \u00e0 distance des voitures connect\u00e9es, d\u00e9verrouiller les portes, d\u00e9marrer le moteur, trouver des voitures sur une carte, voir les indications du tableau de bord, etc.<\/p>\n
Nos experts ont analys\u00e9 neuf applications mobiles des plus grands fabricants de voitures pour tester leur protection. Leur but \u00e9tait d’\u00e9valuer si ces applications sont prot\u00e9g\u00e9es contre les trois types d’attaques typiques utilis\u00e9es par les applications Android malveillantes : obtenir les permissions root de l’appareil (rooting), rev\u00eatir l’interface de l’application par une fausse fen\u00eatre et injecter du code malveillant dans une application de voiture connect\u00e9e l\u00e9gitime.<\/p>\n
Tout d’abord, il nous faut comprendre pourquoi ces attaques sont dangereuses.<\/p>\n
<\/p>\n
Rooting<\/b>
\nEn mode de fonctionnement standard, toutes les applications Android stockent des donn\u00e9es, y compris des donn\u00e9es de valeur comme les identifiants de connexion, les mots de passe et d’autres informations dans des sections isol\u00e9es de la m\u00e9moire auxquelles les autres applications ne peuvent pas acc\u00e9der. Le rooting interrompt ce m\u00e9canisme de s\u00e9curit\u00e9 : Avec un acc\u00e8s root, une application malveillante peut avoir acc\u00e8s \u00e0 des donn\u00e9es stock\u00e9es par d’autres applications et les voler.<\/p>\n
De nombreux types de malwares en tirent profit. Presque 30 % des malwares courants sur Android peuvent utiliser des vuln\u00e9rabilit\u00e9s du syst\u00e8me d’exploitation pour acc\u00e9der au root. En plus, de nombreux utilisateurs simplifient le travail des virus et rootent leurs p\u00e9riph\u00e9riques Android eux-m\u00eames \u2014 c’est quelque chose que nous recommandons de ne pas faire si vous n’\u00eates pas absolument s\u00fbr que vous savez prot\u00e9ger un smartphone ou une tablette root\u00e9s.<\/p>\n
Rev\u00eatement de l’interface de l’application<\/b>
\nCe truc marche de mani\u00e8re tr\u00e8s simple. Les malwares font un suivi des applications quand l’utilisateur les ouvre et d\u00e8s qu’il ouvre une application que le malware conna\u00eet, il remplace la fen\u00eatre de l’application par une fen\u00eatre similaire ou m\u00eame identique. Ce processus est instantan\u00e9 ; l’utilisateur n’a donc pas l’opportunit\u00e9 de voir quelque chose de suspect.<\/p>\n
Ensuite, quand l’utilisateur ins\u00e8re des informations dans la fausse fen\u00eatre en pensant qu’il interagit avec une application de confiance, le malware vole les identifiants de connexion, les mots de passe, les num\u00e9ros de carte bancaire et toutes autres informations d’int\u00e9r\u00eat pour les hackers.<\/p>\n
Le truc du remplacement de l’interface de l’application est compris dans l’arsenal des chevaux de Troie des banques en ligne. Mais ils ne se limitent pas \u00e0 la banque : les cr\u00e9ateurs de ces chevaux de Troie ne collectent plus uniquement que des donn\u00e9es pour les applications de banque en ligne. En effet, ils cr\u00e9ent maintenant de fausses fen\u00eatres pour un grand nombre d’applications o\u00f9 l’utilisateur ins\u00e8re des num\u00e9ros de carte bancaire ou d’autres informations int\u00e9ressantes.<\/p>\n
La liste des applications imit\u00e9es est tr\u00e8s longue : plusieurs syst\u00e8mes de paiement en ligne et applications de messagerie populaires, applications d’achat de billets d’avion et de r\u00e9servations de chambre d’h\u00f4tel, le Google Play store et Android Pay, des applications de paiement d’amendes, et bien d’autres. R\u00e9cemment, les cr\u00e9ateurs de l’un de ces chevaux de Troie ont commenc\u00e9 \u00e0 voler des informations de paiement d’applications de taxi.<\/p>\n
Introduction de malwares<\/b>
\nLes hackers peuvent aussi prendre une application l\u00e9gitime, d\u00e9terminer comment elle fonctionne, ajouter du code malveillant tout en pr\u00e9servant les fonctions de l’application d’origine et la diffuser sur Google Play ou d’autres canaux (en particulier en utilisant des publicit\u00e9s malveillantes sur Google AdSense).<\/p>\n
Pour les emp\u00eacher d’utiliser cette technique, les d\u00e9veloppeurs d’applications doivent s’assurer qu’inverser la conception de leurs applications et y injecter un code malveillant soit aussi long (et donc peu rentable) que possible. Les d\u00e9veloppeurs utilisent des techniques tr\u00e8s connues pour ren-forcer leurs applications. Dans un monde parfait, tous les d\u00e9veloppeurs les utiliseraient pour d\u00e9ve-lopper des applications qui traitent des donn\u00e9es sensibles d’utilisateurs, mais ce n’est malheureu-sement pas toujours le cas.<\/p>\n
En utilisant les m\u00e9thodes susmentionn\u00e9es, des applications malicieuses peuvent voler des identifiants d’utilisateurs et des mots de passe ainsi que des codes PIN tout comme le num\u00e9ro unique d’identification d’un v\u00e9hicule (VIN) – c’est-\u00e0-dire, tout ce dont vous avez besoin pour vous authentifier dans l’application.<\/p>\n
Une fois que les criminels obtiennent ces donn\u00e9es, tout ce qu’ils ont \u00e0 faire, c’est d’installer l’application correspondante sur leur propre smartphone, et ils seront ensuite capables de d\u00e9verrouiller les portes (toutes les applications ont cette fonctionnalit\u00e9) ou m\u00eame de d\u00e9marrer le moteur (toutes les applications ne le permettent pas, mais c’est assez courant) et voler la voiture, ou encore suivre les mouvements du propri\u00e9taire de la voiture.<\/p>\n
Cette menace n’est plus seulement th\u00e9orique : on trouve r\u00e9guli\u00e8rement des publicit\u00e9s de vente et d’achat d’informations de comptes d’utilisateurs v\u00e9ritables pour les applications de voitures connect\u00e9es. Les prix de ces donn\u00e9es sont \u00e9tonnamment \u00e9lev\u00e9s – bien plus que ce que les criminels paient habituellement pour un vol de donn\u00e9es de carte de cr\u00e9dit.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/10\/03151137\/darknet-ads.jpg\")
Publicit\u00e9 de forums du Darknet pour acheter et vendre des informations de compte d’applications de voiture.<\/p><\/div>\n
Les cybercriminels r\u00e9pondent rapidement aux nouvelles opportunit\u00e9s de gagner de l’argent, et l’usage courant de malwares attaquant des applications de voitures connect\u00e9es ne tardera donc pas.<\/p>\n
Lorsque la premi\u00e8re partie de la recherche a \u00e9t\u00e9 publi\u00e9e d\u00e9but 2017, des experts ont examin\u00e9 neuf applications de voitures connect\u00e9es d\u00e9velopp\u00e9es par les plus grands constructeurs et ont d\u00e9couvert qu’aucune de ces applications n’\u00e9tait prot\u00e9g\u00e9e contre les menaces dont nous avons parl\u00e9.<\/p>\n
Nous le r\u00e9p\u00e9tons : les 9 applications que nous avons \u00e9tudi\u00e9es \u00e9taient vuln\u00e9rables aux attaques les plus courantes.<\/p>\n
Les experts de Kaspersky Lab ont contact\u00e9 les constructeurs automobiles et leur ont parl\u00e9 des probl\u00e8mes avant de publier les r\u00e9sultats.<\/p>\n
Suivre le d\u00e9veloppement des \u00e9v\u00e9nements est toujours int\u00e9ressant. Il y a quelques jours, Mikhail Kuzin a pr\u00e9sent\u00e9 la deuxi\u00e8me partie du rapport \u00e0 l’IAA 2017, le Salon de l’automobile de Francfort.<\/p>\n
L’expert a ajout\u00e9 quatre applications \u00e0 la liste et les a toutes examin\u00e9es, en testant donc 13 programmes en tout. Seule l’une des nouvelles applications \u00e9tait prot\u00e9g\u00e9es \u2014 et seulement contre l’un des trois types d’attaque (si elle d\u00e9tecte que le t\u00e9l\u00e9phone a \u00e9t\u00e9 root\u00e9, elle refuse de fonctionner).<\/p>\n
Pire encore : la nouvelle inspection a montr\u00e9 que les neuf applications d’origine \u00e9taient toujours vuln\u00e9rables. Plusieurs mois apr\u00e8s la d\u00e9couverte du probl\u00e8me, les d\u00e9veloppeurs n’avaient rien am\u00e9lior\u00e9. De plus, certaines de ces applications n’avaient absolument pas \u00e9t\u00e9 mises \u00e0 jour.<\/p>\n
Malheureusement, les constructeurs automobiles n’ont toujours pas l’exp\u00e9rience requise pour implanter une bonne cybers\u00e9curit\u00e9, malgr\u00e9 leurs connaissances et leur talent pour construire des voitures.<\/p>\n
Ils ne sont pas les seuls. Ce probl\u00e8me est typique des fabricants d’autres dispositifs \u00e9lectroniques intelligents et connect\u00e9s. Dans le cas des voitures, cependant, le probl\u00e8me semble plus urgent et s\u00e9rieux car des piratages pourraient causer des pertes de dizaines de milliers de dollars ou m\u00eame mettre des vies en danger.<\/p>\n
Heureusement, l’expertise en cybers\u00e9curit\u00e9 n’a pas \u00e0 \u00eatre acquise en interne, et il n’est pas n\u00e9cessaire de refaire les m\u00eames erreurs. Nous serions heureux de travailler avec des constructeurs automobiles et de les aider \u00e0 r\u00e9soudre des probl\u00e8mes avec des applications et d’autres \u00e9l\u00e9ments num\u00e9riques.<\/p>\n
Et si vous craignez que votre smartphone ne devienne accessible pour des criminels, vous devriez installer une protection fiable sur votre t\u00e9l\u00e9phone pour d\u00e9tecter et bloquer les malwares avant qu’ils n’interceptent des informations importantes.<\/p>\n","protected":false},"excerpt":{"rendered":"
Il y a plusieurs mois, nos experts ont trouv\u00e9 plusieurs vuln\u00e9rabilit\u00e9s dans des applications Android qui permettaient aux utilisateurs de contr\u00f4ler leurs voitures \u00e0 distance. Qu’est-ce qui a chang\u00e9 depuis ?<\/p>\n","protected":false},"author":421,"featured_media":9604,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[2080,59,379,2481,2482,841,204,2483,967],"class_list":{"0":"post-9603","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amr","9":"tag-android","10":"tag-applications","11":"tag-iaa","12":"tag-iaa-2017","13":"tag-iot","14":"tag-menaces","15":"tag-smart-cars","16":"tag-voitures-connectees"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/connected-car-apps-revisited\/9603\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/connected-car-apps-revisited\/11223\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/connected-car-apps-revisited\/9285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/connected-car-apps-revisited\/12782\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/connected-car-apps-revisited\/11769\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/connected-car-apps-revisited\/11297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/connected-car-apps-revisited\/14370\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/connected-car-apps-revisited\/14247\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/connected-car-apps-revisited\/18747\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/connected-car-apps-revisited\/18548\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/connected-car-apps-revisited\/9719\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/connected-car-apps-revisited\/7381\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/connected-car-apps-revisited\/14618\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/connected-car-apps-revisited\/17925\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/connected-car-apps-revisited\/17867\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/connected-car-apps-revisited\/17856\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/voitures-connectees\/","name":"voitures connect\u00e9es"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=9603"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9603\/revisions"}],"predecessor-version":[{"id":12878,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9603\/revisions\/12878"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/9604"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=9603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=9603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=9603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}