Un pirate exploite la faille de Sirius XM pour déverrouiller à distance et klaxonner sur les voitures

À l'ère des véhicules connectés à Internet, les problèmes de cybersécurité récemment découverts redéfinissent ce que signifie "voler" une voiture.

Lors d'une récente expérience menée par Sam Curry, ingénieur en sécurité chez Yuga Labs et pirate autoproclamé, son équipe a pu exploiter une vulnérabilité du logiciel Sirius XM pour accéder à distance aux véhicules en utilisant leurs numéros d'identification de véhicule (VIN) accessibles au public, rapporte The Verge(ouvre dans une nouvelle fenêtre).

Le parapluie SiriusXM Connected Services comprend des systèmes d'infodivertissement et de télématique(Opens in a new window), qui sont utilisés par plus de 15 équipementiers, y comprisAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota.

Les applications de véhicule comme MyHonda ou Nissan Connect(ouvre dans une nouvelle fenêtre) ont des intégrations Sirius XM. Donc, pour l'expérience de piratage de Curry, il a demandé à un ami son compte Nissan et s'est connecté. Cela lui a donné accès à l'application Nissan pour inspecter son backend.

Curry a remarqué que le système de sécurité avait une faille de connexion. Il n'était pas nécessaire d'avoir un nom d'utilisateur et un mot de passe uniques pour accéder au compte de quelqu'un. Au lieu de cela, Curry pourrait entrer uniquement le VIN, qui est affiché publiquement sur le pare-brise de n'importe quel véhicule.

L'équipe a ensuite écrit un script python qui utilisait le VIN pour exécuter les commandes du véhicule, leur permettant de démarrer, déverrouiller, localiser, faire clignoter les lumières et klaxonner la voiture à distance. Théoriquement, un mauvais acteur pourrait copier le VIN de n'importe quelle voiture dans sa région, le brancher dans le script et déverrouiller le véhicule pour voler quelque chose à l'intérieur.

Un autre risque a également fait surface : le programme de Curry a accédé à des informations privées sur les clients telles que l'adresse, le nom, le numéro de téléphone et la latitude/longitude de la voiture. Un pirate informatique pourrait utiliser ces informations de plusieurs manières, notamment en suivant régulièrement la voiture à l'aide de sa latitude et de sa longitude, en utilisant sa localisation connue pour planifier des activités néfastes sur la maison du propriétaire.

"À ce stade, nous avons identifié qu'il était également possible d'accéder aux informations client et d'exécuter des commandes de véhicule sur les véhicules Honda, Infiniti et Acura en plus de Nissan", a tweeté Curry. "Nous avons signalé le problème à SiriusXM qui l'a corrigé immédiatement et a validé son correctif."

"À aucun moment, un abonné ou d'autres données n'ont été compromis et aucun compte non autorisé n'a été modifié à l'aide de cette méthode", a déclaré un porte-parole de Sirius XM à The Verge.

Inscrivez-vous à SecurityWatchnewsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d'affiliation. L'inscription à une newsletter indique votre consentement à nos conditions d'utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Votre abonnement a été confirmé. Gardez un œil sur votre boîte de réception !