Des chercheurs poursuivis par VW pour dissimuler une faille de sécurité pendant deux ans
Les vulnérabilités de sécurité logicielles sont signalées tout le temps. Généralement, lorsqu'une vulnérabilité est découverte, la réponse consiste à remercier (ou, dans de nombreux cas, à payer) le chercheur qui l'a trouvée, puis à résoudre le problème. C'est la réponse standard dans l'industrie.
Une solution résolument atypique serait de poursuivre en justice les personnes qui ont signalé la vulnérabilité pour les empêcher de parler de cela, puis de passer deux ans à tenter de dissimuler le problème. Malheureusement, c'est exactement ce que le constructeur automobile allemand Volkswagen a fait.
Carjacking cryptographique
La vulnérabilité en question était une faille du système d'allumage sans clé de certaines voitures. Ces systèmes, une alternative haut de gamme aux clés classiques, sont supposés empêcher le déverrouillage ou le démarrage de la voiture à moins que le porte-clés ne soit à proximité. La puce s'appelle le “Megamos Crypto,” et est acheté auprès d'un fabricant tiers en Suisse. La puce est censée détecter un signal provenant de la voiture et répondre avec un message signé par cryptographie. Pouvez-vous signer électroniquement des documents et devriez-vous? Pouvez-vous signer électroniquement des documents et devriez-vous? Peut-être avez-vous entendu vos amis férus de technologie jongler entre les termes signature électronique et signature numérique. Peut-être les avez-vous déjà entendus utiliser de manière interchangeable. Cependant, vous devez savoir qu'ils ne sont pas les mêmes. En fait,… Lire la suite en assurant à la voiture qu'il est correct de déverrouiller et de démarrer.
Malheureusement, la puce utilise un schéma cryptographique obsolète. Lorsque les chercheurs Roel Verdult et Baris Ege ont remarqué ce fait, ils ont pu créer un programme qui casse le cryptage en écoutant les messages entre la voiture et le porte-clés. Après avoir entendu deux échanges de ce type, le programme est en mesure de réduire le nombre de touches possibles à environ 200 000 possibilités - un nombre pouvant être facilement forcé par un ordinateur..
Ce processus permet au programme de créer un “duplicata numérique” de la clé, et déverrouiller ou démarrer la voiture à volonté. Tout cela peut être fait par un appareil (comme un ordinateur portable ou un téléphone) qui se trouve à proximité de la voiture en question. Il ne nécessite pas d'accès physique au véhicule. Au total, l'attaque prend environ trente minutes.
Si cette attaque semble théorique, ça ne l'est pas. Selon la police métropolitaine de Londres, 42% des vols de voitures survenus à Londres l'année dernière ont été perpétrés à l'aide d'attaques contre des systèmes sans clé. C'est une vulnérabilité pratique qui met des millions de voitures en danger.
Tout cela est plus tragique, car les systèmes de déverrouillage sans clé peuvent être beaucoup plus sécurisés que les clés conventionnelles. La seule raison pour laquelle ces systèmes sont vulnérables est l'incompétence. Les outils sous-jacents sont bien plus puissants que n’importe quel verrou physique.
Divulgation responsable
Les chercheurs ont initialement révélé la vulnérabilité au créateur de la puce, ce qui leur donnait neuf mois pour la corriger. Lorsque le créateur a refusé d'émettre un rappel, les chercheurs sont allés chez Volkswagen en mai 2013. Ils avaient initialement prévu de publier l'attaque lors de la conférence USENIX en août 2013, donnant à Volkswagen environ trois mois pour commencer un rappel / amélioration, avant l'attaque. devenir public.
Au lieu de cela, Volkswagen a poursuivi en justice pour empêcher les chercheurs de publier le document. Un tribunal britannique s'est rangé du côté de Volkswagen, affirmant “Je reconnais la grande valeur de la liberté d'expression universitaire, mais il existe une autre valeur élevée, la sécurité de millions de voitures Volkswagen..”
Cela a pris deux ans de négociations, mais les chercheurs sont enfin autorisés à publier leur article, moins une phrase qui contient quelques détails essentiels sur la réplication de l'attaque. Volkswagen n'a toujours pas réparé les porte-clés, pas plus que les autres constructeurs utilisant la même puce.
Sécurité par litige
De toute évidence, le comportement de Volkswagen ici est totalement irresponsable. Plutôt que d'essayer de régler le problème avec leurs voitures, ils se sont plutôt investis pour savoir combien de temps et d'argent leur faudrait faire pour empêcher les gens de s'en informer. C'est une trahison des principes les plus fondamentaux d'une bonne sécurité. Leur comportement ici est inexcusable, honteux et autres invectives (plus colorés) que je vous épargnerai. Autant dire que ce n'est pas ainsi que les entreprises responsables devraient se comporter.
Malheureusement, ce n'est pas non plus unique. Les constructeurs ont laissé tomber le ballon de sécurité Les hackers peuvent-ils VRAIMENT prendre le contrôle de votre voiture? Les pirates peuvent-ils VRAIMENT prendre en charge votre voiture? Lire beaucoup énormément ces derniers temps. Le mois dernier, il a été révélé qu'un modèle particulier de Jeep pourrait être piraté sans fil via son système de divertissement. Dans quelle mesure les voitures autonomes et connectées à Internet sont-elles sécurisées? Quel est le niveau de sécurité des voitures autonomes connectées à Internet? Les voitures autonomes sont-elles sûres? Les voitures connectées à Internet pourraient-elles être utilisées pour causer des accidents, voire pour assassiner des dissidents? Google espère que non, mais une expérience récente montre qu'il reste encore beaucoup à faire. Lire la suite, quelque chose qui serait impossible dans toute conception de voiture soucieuse de la sécurité. Au crédit de Fiat Chrysler, ils ont rappelé plus d'un million de véhicules à la suite de cette révélation, mais seulement après que les chercheurs en question ont présenté le piratage de manière irresponsable, dangereuse et vivante..
Des millions d'autres véhicules connectés à Internet sont probablement vulnérables à des attaques similaires - mais personne n'a mis en danger imprudemment un journaliste avec eux, donc il n'y a pas eu de rappel. Il est tout à fait possible que nous ne voyions aucun changement avant que quelqu'un meure.
Le problème ici est que les constructeurs automobiles n’ont jamais été constructeurs de logiciels auparavant - mais ils le sont maintenant. Ils n’ont pas de culture d’entreprise soucieuse de la sécurité. Ils ne possèdent pas l'expertise institutionnelle nécessaire pour traiter ces problèmes de la bonne manière ou pour concevoir des produits sécurisés. Quand ils sont confrontés à eux, leur première réponse est la panique et la censure, pas des corrections.
Il a fallu des décennies aux sociétés de logiciels modernes pour mettre au point de bonnes pratiques de sécurité. Certains, comme Oracle, sont toujours aux prises avec des cultures de sécurité obsolètes. Oracle veut que vous arrêtiez de leur envoyer des bogues - voici pourquoi c'est fou. Oracle veut que vous cessiez de leur envoyer des bogues - voici pourquoi c'est fou. chef, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d’Oracle s’éloigne de la norme n’a pas été bien accueillie par la communauté de la sécurité… En savoir plus. Malheureusement, nous n'avons pas le luxe d'attendre simplement que les entreprises développent ces pratiques. Les voitures sont des machines chères (et extrêmement dangereuses). Ils constituent l’un des domaines les plus critiques de la sécurité informatique, après les infrastructures de base telles que le réseau électrique. Avec la montée des voitures autonomes L'histoire est super: L'avenir des transports ne ressemblera à rien de ce que vous avez vu auparavant L'histoire est super: L'avenir des transports ne ressemblera à rien de ce que vous avez vu auparavant Dans quelques décennies, la phrase voiture sans conducteur va ressembler énormément à une «voiture sans cheval», et l'idée de posséder sa propre voiture semblera aussi pittoresque que de creuser soi-même son puits. Lire plus en particulier, ces entreprises doivent faire mieux, et il est de notre responsabilité de les maintenir à la pointe.
Pendant que nous y travaillons, le moins que nous puissions faire est de faire en sorte que le gouvernement cesse de permettre ce mauvais comportement. Les entreprises ne devraient même pas essayer de faire appel aux tribunaux pour cacher leurs problèmes avec leurs produits. Mais, tant que certains d'entre eux sont disposés à essayer, nous ne devrions certainement pas les laisser faire. Il est essentiel que les juges, qui connaissent suffisamment la technologie et les pratiques de l'industrie des logiciels soucieux de la sécurité, sachent que ce type de blocage n'est jamais la bonne réponse..
Qu'est-ce que tu penses? Êtes-vous préoccupé par la sécurité de votre véhicule? Quel constructeur automobile est le meilleur (ou le pire) en matière de sécurité?
Crédits d'image: ouverture de sa voiture par nito via Shutterstock
En savoir plus sur: Technologie automobile, Piratage.