Encore une faille de sécurité dans une voiture
Ces derniers temps, nous vous avons parlé à plusieurs reprises de problèmes de sécurité informatique dans... des voitures. En effet, ces dernières sont de plus en plus connectées et leurs constructeurs sont encore peu enclins à se rappeler les règles de sécurité élémentaires qu'il faut prendre avec tout système informatique.
Pen Test Partner a ainsi testé la sécurité du dernier Mitsubishi Outlander.
Ce gros 4x4 est capable de communiquer avec le smartphone de son propriétaire via une connexion Wi-Fi qu'il crée. Une fois le smartphone connecté et l'application téléchargée, on a accès à de nombreuses fonctions avancées du véhicule.
Il s'avère que le mot de passe de ce réseau, indiqué dans la notice du véhicule, est bien trop court. Les hackers ont ici réussi à le casser en 4 jours de tests sur un ordinateur assez puissant (en GP-GPU avec quatre cartes graphiques).
Une fois ce mot de passe découvert, ils ont réussi en étudiant les protocoles d'échange à avoir accès à des tas de fonctions non documentées. Elles peuvent permettre des blagues de potache comme décharger la batterie, ou d'aller bien plus loin en désactivant l'alarme du véhicule. Ensuite, via la prise ODB ce serait un jeu de reprogrammer une clé et de partir avec.
En attendant que le problème soit réglé par le constructeur, il n'y a qu'un moyen de régler le problème, désactiver le jumelage de tous les téléphones qui ont été connectés au Wi-Fi de la voiture pour que son module se mette en veille. En effet, pour faire bonne mesure, il n'y a aucun moyen de désactiver une fois pour toute cette fonction...