Les pirates peuvent-ils VRAIMENT prendre en charge votre voiture?
Zubie est un petit boîtier qui se branche sur le port ODBII (On-Board Diagnostics) présent dans la plupart des voitures modernes. Il permet aux utilisateurs de savoir dans quelle mesure ils conduisent bien et offre des conseils pour augmenter leur kilométrage avec une conduite raisonnable et économique. Et jusqu'à récemment, Zubie contenait une grave erreur de sécurité pouvant laisser les utilisateurs vulnérables au vol de leur voiture à distance..
Le trou - découvert par les anciens de l'Unité 8200, l'équipe de cybersécurité d'élite de la Force de défense israélienne - pourrait potentiellement voir les assaillants interférer à distance avec le freinage, la direction et le moteur..
Zubie se connecte à un serveur distant via une connexion GPRS, utilisée pour envoyer les données collectées à un serveur central, ainsi que pour recevoir des mises à jour de sécurité..
Les chercheurs ont découvert que le périphérique commettait l'un des péchés capitaux de la sécurité du réseau et ne communiquait pas avec le serveur domestique via une connexion cryptée. En conséquence, ils ont pu usurper le serveur central Zubie et envoyer des logiciels malveillants spécialement conçus à l'appareil..
Vous trouverez plus de détails sur l'attaque ci-dessous et vous serez ravi d'apprendre que le problème a depuis été résolu. Cela soulève toutefois une question intéressante. Quel est le niveau de sécurité de nos voitures?
Séparer le fait de la fiction
Pour beaucoup, conduire n'est pas un luxe. C'est une nécessité
Et c'est une nécessité dangereuse à cela. La plupart des gens connaissent trop bien les risques associés au fait de prendre le volant. Les accidents de la route comptent parmi les plus meurtrières au monde, avec 1,24 million de vies perdues sur la route rien qu'en 2010.
Cependant, le nombre de morts sur les routes est en diminution, en grande partie à cause de la pénétration croissante de technologies de sécurité routière sophistiquées. Il y en a beaucoup trop pour une liste complète, mais l'exemple le plus répandu est OnStar, disponible aux États-Unis, au Canada et en Chine..
La technologie - disponible exclusivement dans les voitures GM, ainsi que dans d’autres véhicules, par des entreprises qui ont choisi d’en octroyer une licence - permet de surveiller la santé de votre voiture. Il peut fournir des instructions pas à pas, et peut apporter automatiquement une assistance en cas d'accident..
Près de six millions de personnes sont abonnées à OnStar. De plus en plus d’utilisateurs utilisent un système télématique, qui permet aux assureurs de suivre le bon état de conduite des voitures et de personnaliser les offres d’assurance afin de récompenser les conducteurs raisonnables. Justin Dennis a récemment commenté quelque chose de similaire appelé Metronome de Metromile. Suivez votre kilométrage, vos coûts de carburant, etc. avec un appareil OBD2 gratuit Suivez votre kilométrage, vos coûts de carburant, etc. avec un appareil OBD2 gratuit De nos jours, tout semble intelligent - à l'exception de nos voitures. Cet appareil et cette application gratuits ODB2 changent cela. Read More, disponible gratuitement pour les résidents de Washington, de l'Oregon, de la Californie et de l'Illinois. Comment surveiller les performances de votre voiture avec Android? Comment surveiller les performances de votre voiture avec Android? Surveiller des tonnes d'informations sur votre voiture est incroyablement simple et peu coûteux avec votre Android. Surveiller les performances de votre voiture avec Android appareil - apprenez-le ici! Lire plus et applications pour smartphone iOS.
Lorsque ces technologies ont atteint l'omniprésence, il est devenu évident qu'elles peuvent être piratées. Nulle part ailleurs cela n’est plus évident que dans notre psychisme culturel.
Le thriller Intraceable de 2008 mettait en évidence une voiture équipée d'OnStar en train d'être «maquillée» par l'antagoniste du film afin d'attirer quelqu'un dans un piège. En 2009, la société informatique néerlandaise InfoSupport a lancé une série de publicités montrant un pirate informatique fictif appelé Max Cornellise pirater à distance des systèmes automobiles, y compris une Porsche 911, en utilisant uniquement son ordinateur portable..
Donc, avec tant d'incertitude autour de la question, il est important de savoir ce qui peut être fait et quelles menaces restent dans le domaine de la science-fiction.
Une brève histoire du piratage de voiture?
En dehors d'Hollywood, des chercheurs en sécurité ont accompli des choses assez effrayantes avec des voitures.
En 2013, Charlie Miller et Chris Valasek ont présenté une attaque lorsqu’ils ont compromis une Ford Escape et une Toyota Prius et ont réussi à prendre le contrôle des installations de freinage et de direction. Cependant, cette attaque avait un inconvénient majeur, car elle dépendait du branchement d’un ordinateur portable sur le véhicule. Cela a laissé les chercheurs en sécurité curieux et se demandant s'il était possible d'accomplir la même chose, mais sans être physiquement attachés à la voiture..
Cette question a reçu une réponse concluante un an plus tard, lorsque Miller et Valasek ont mené une étude encore plus détaillée sur la sécurité de 24 modèles de voitures différents. Cette fois-ci, ils se concentraient sur la capacité d'un attaquant à mener une attaque à distance. Leurs recherches approfondies ont donné lieu à un rapport de 93 pages, qui a été publié sur Scribd pour coïncider avec leur conférence de suivi à la conférence sur la sécurité Blackhat à Las Vegas..
Cela suggérait que nos voitures n'étaient pas aussi sécurisées qu'on le pensait, beaucoup manquant des protections les plus rudimentaires en matière de cybersécurité. Le rapport accablant a souligné que la Cadillac Escalade, la Jeep Cherokee et l'Infiniti Q50 étaient les plus vulnérables à une attaque à distance.
Lorsque nous examinons l’Infinity Q10 en particulier, nous constatons des défaillances majeures en matière de sécurité..
Ce qui rend l’Infiniti aussi fascinante qu’une voiture, c’est aussi ce qui le rend si vulnérable. Comme beaucoup de voitures haut de gamme produites au cours des dernières années, elle est dotée d'un ensemble de fonctionnalités technologiques conçues pour rendre l'expérience de conduite plus agréable. Celles-ci vont du déverrouillage sans clé à la surveillance sans fil de la pression des pneus, en passant par l'application pour smartphone «assistant personnel» qui s'interface avec la voiture..
Selon Miller et Vlasek, certaines de ces fonctionnalités technologiques ne sont pas isolées, mais plutôt mises directement en réseau avec les systèmes responsables du contrôle du moteur et du freinage. Cela laisse la possibilité à un attaquant d'accéder au réseau interne de la voiture, puis d'exploiter une vulnérabilité située dans l'un des systèmes essentiels afin de planter ou d'interférer avec le véhicule..
Des éléments comme le déverrouillage sans clé et les «assistants personnels» sont rapidement considérés comme des éléments essentiels pour les conducteurs, mais comme Charlie Miller l'a si bien souligné, “c'est un peu effrayant qu'ils puissent tous se parler.”
Mais nous sommes toujours très dans le monde de la théorie. Miller et Vlasek ont démontré une avenue potentielle pour une attaque, mais pas une attaque réelle. Existe-t-il des exemples de personnes ayant réussi à interférer avec les systèmes informatiques d'une voiture??
Les attaques visant les fonctions de déverrouillage sans clé ne manquent pas. L'un d'entre eux a même été présenté cette année à la conférence Blackhat sur la sécurité à Las Vegas par le chercheur en sécurité australien Silvio Cesare.
Utilisant seulement 1 000 dollars d’outils standard, il a été en mesure de fausser le signal d’une clé, lui permettant ainsi de déverrouiller une voiture à distance. L'attaque repose sur la présence physique d'une personne près de la voiture, potentiellement pendant quelques heures, puisqu'un ordinateur et une antenne radio émet tente de forcer brutalement le récepteur intégré au système de déverrouillage sans clé de la voiture..
Une fois la voiture ouverte, l’attaquant pourrait alors potentiellement tenter de la voler ou s’aider lui-même pour tout objet laissé sans surveillance par le conducteur. Il y a beaucoup de potentiel de dégâts ici.
Y at-il des défenses?
Ça dépend.
Il existe déjà une forme de protection contre la vulnérabilité d'accès à distance découverte par Charlie Miller et Chris Valasek. Au cours des mois qui ont suivi leur conversation avec Blackhat, ils ont été en mesure de construire un dispositif qui agit comme un système de détection d'intrusion (IDS). Cela n'arrête pas une attaque, mais indique plutôt au conducteur quand une attaque peut être en cours. Cela coûte environ 150 dollars par pièce et nécessite un peu de savoir-faire en électronique pour construire.
La vulnérabilité de Zubie est un peu plus délicate. Bien que le trou ait été corrigé depuis, la faiblesse ne réside pas dans la voiture, mais dans le périphérique tiers qui y était connecté. Alors que les voitures ont leurs propres insécurités architecturales, il semble que l'ajout de suppléments supplémentaires ne fait qu'augmenter les possibilités d'attaque..
Peut-être le seul moyen d'être vraiment Sécuriser, c'est conduire une vieille voiture. Un modèle qui manque des fonctions sophistiquées des voitures modernes haut de gamme et de la résistance à la tentation de placer des objets dans votre port ODBII. Il y a la sécurité dans la simplicité.
Est-il sécuritaire de conduire ma voiture??
La sécurité est un processus évolutif.
Au fur et à mesure que les gens comprennent mieux les menaces qui pèsent sur un système, celui-ci évolue pour se protéger contre eux. Mais le monde de l'automobile n'a pas encore eu son ShellShock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux, en savoir plus ou avec un battement de cœur Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite . J'imagine que, lorsqu'ils auront leur première menace critique - c'est le premier jour zéro, si vous voulez - les constructeurs automobiles réagiront de manière appropriée et prendront des mesures pour rendre la sécurité des véhicules un peu plus rigoureuse.
Mais que pensez-vous? Est-ce un peu optimiste? Craignez-vous que des pirates informatiques prennent le contrôle de votre voiture? Je veux en entendre parler. Laissez moi un commentaire ci-dessous.
Crédits photos: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com
En savoir plus sur: OBD-II.