Les hackers peuvent-ils vraiment prendre en charge votre voiture?

  • Edmund Richardson
  • 0
  • 1879
  • 433
Publicité

Zubie est un petit boîtier qui se branche sur le port ODBII (On-Board Diagnostics) présent dans la plupart des voitures modernes. Il permet aux utilisateurs de savoir dans quelle mesure ils conduisent bien et offre des conseils pour augmenter leur kilométrage avec une conduite raisonnable et économique. Et jusqu'à récemment, Zubie contenait une grave erreur de sécurité pouvant laisser les utilisateurs vulnérables au vol de leur voiture à distance..

Le trou - découvert par les anciens de l'unité 8200, l'équipe de cybersécurité d'élite de la Force de défense israélienne - pourrait potentiellement voir des assaillants interférer à distance avec le freinage, la direction et le moteur..

Zubie se connecte à un serveur distant via une connexion GPRS, qui est utilisée pour envoyer les données collectées à un serveur central, ainsi que pour recevoir des mises à jour de sécurité..

Les chercheurs ont découvert que l'appareil commettait l'un des péchés capitaux de la sécurité du réseau et ne communiquait pas avec le serveur domestique via une connexion cryptée. En conséquence, ils ont pu usurper le serveur central Zubie et envoyer des logiciels malveillants spécialement conçus à l'appareil..

Vous trouverez plus de détails sur l'attaque ci-dessous et vous serez ravi d'apprendre que le problème a depuis été résolu. Cela soulève toutefois une question intéressante. Quel est le niveau de sécurité de nos voitures?

Séparer le fait de la fiction

Pour beaucoup, conduire n'est pas un luxe. C'est une nécessité

Et c'est une nécessité dangereuse à cela. La plupart des gens connaissent trop bien les risques associés au fait de prendre le volant. Les accidents de la route comptent parmi les plus meurtrières au monde, avec 1,24 million de victimes sur la route rien qu'en 2010.

Cependant, le nombre de morts sur les routes est en baisse, en grande partie à cause de la pénétration accrue de technologies de sécurité routière sophistiquées. Il y en a beaucoup trop pour une liste complète, mais l'exemple le plus répandu est OnStar, disponible aux États-Unis, au Canada et en Chine..

La technologie - disponible exclusivement dans les voitures GM, ainsi que dans d’autres véhicules, par les entreprises qui ont choisi d’en octroyer une licence - permet de surveiller la santé de votre voiture. Il peut fournir des instructions pas à pas, et peut apporter automatiquement une assistance en cas d'accident..

Près de six millions de personnes sont abonnées à OnStar. De plus en plus d’utilisateurs utilisent un système télématique, qui permet aux assureurs de suivre le bon état de conduite des voitures et de personnaliser les offres d’assurance afin de récompenser les conducteurs raisonnables. Justin Dennis a récemment passé en revue quelque chose de similaire appelé Metronome de Metromile. Suivez votre kilométrage, vos coûts de carburant, etc. avec un appareil OBD2 gratuit Suivez votre kilométrage, vos coûts de carburant, etc. avec un appareil OBD2 gratuit De nos jours, tout semble intelligent - à l'exception de nos voitures. Cet appareil et cette application gratuits ODB2 changent cela. , qui est disponible gratuitement pour les résidents de Washington, de l’Oregon, de la Californie et de l’Illinois. Comment surveiller les performances de votre voiture avec Android? Comment surveiller les performances de votre voiture avec Android? Surveiller des tonnes d'informations sur votre voiture est incroyablement facile et peu coûteux avec Android. Surveiller les performances de votre voiture avec Android appareil - apprenez-le ici! et applications smartphone iOS.

Comme ces technologies ont atteint l'omniprésence, il en est de même pour la conscience de pouvoir les pirater. Nulle part ailleurs cela n’est plus évident que dans notre psyché culturel.

Le thriller Intraceable de 2008 mettait en évidence une voiture équipée d'OnStar en train d'être «maquillée» par l'antagoniste du film afin d'attirer quelqu'un dans un piège. En 2009, la société informatique néerlandaise InfoSupport a lancé une série de publicités montrant un pirate informatique fictif appelé Max Cornellise pirater à distance des systèmes automobiles, y compris une Porsche 911, en utilisant uniquement son ordinateur portable..

Donc, avec tant d'incertitude autour du problème, il est important de savoir ce qui peut être fait et quelles menaces demeurent dans le domaine de la science-fiction.

Une brève histoire de piratage de voiture?

En dehors d'Hollywood, des chercheurs en sécurité ont accompli des choses assez effrayantes avec des voitures.

En 2013, Charlie Miller et Chris Valasek ont ​​présenté une attaque lorsqu’ils ont compromis une Ford Escape et une Toyota Prius et ont réussi à prendre le contrôle des installations de freinage et de direction. Cependant, cette attaque avait un inconvénient majeur, car elle dépendait du branchement d’un ordinateur portable sur le véhicule. Cela a laissé les chercheurs en sécurité curieux et se demandant s'il était possible d'accomplir la même chose, mais sans être physiquement attachés à la voiture..

Cette question a reçu une réponse concluante un an plus tard, lorsque Miller et Valasek ont ​​mené une étude encore plus détaillée sur la sécurité de 24 modèles de voitures différents. Cette fois-ci, ils se concentraient sur la capacité d'un attaquant à mener une attaque à distance. Leurs recherches approfondies ont donné lieu à un rapport de 93 pages qui a été publié sur Scribd pour coïncider avec leur conférence de suivi à la conférence sur la sécurité Blackhat à Las Vegas..

Il a suggéré que nos voitures ne sont pas aussi sécurisées qu'on le pensait, beaucoup manquant des protections les plus rudimentaires en matière de cybersécurité. Le rapport accablant a souligné que la Cadillac Escalade, la Jeep Cherokee et l'Infiniti Q50 étaient les plus vulnérables à une attaque à distance.

Lorsque nous examinons l’Infinity Q10 en particulier, nous constatons des défaillances majeures en matière de sécurité..

Ce qui rend l’Infiniti aussi fascinante qu’une voiture, c’est aussi ce qui le rend si vulnérable. Comme beaucoup de voitures haut de gamme produites au cours des dernières années, elle est livrée avec un ensemble de fonctionnalités technologiques conçues pour rendre l'expérience de conduite plus agréable. Celles-ci vont du déverrouillage sans clé à la surveillance sans fil de la pression des pneus, en passant par l'application pour smartphone «assistant personnel» qui s'interface avec la voiture..

Selon Miller et Vlasek, certaines de ces fonctionnalités technologiques ne sont pas isolées, mais plutôt mises en réseau directement avec les systèmes responsables du contrôle du moteur et du freinage. Cela laisse la possibilité à un attaquant d'accéder au réseau interne de la voiture, puis d'exploiter une vulnérabilité située dans l'un des systèmes essentiels afin de planter ou d'interférer avec le véhicule..

Des éléments comme le déverrouillage sans clé et les «assistants personnels» sont rapidement considérés comme des éléments essentiels pour les conducteurs, mais comme Charlie Miller l'a si bien souligné, “c'est un peu effrayant qu'ils puissent tous se parler.”

Mais nous sommes toujours très dans le monde de la théorie. Miller et Vlasek ont ​​démontré une avenue potentielle pour une attaque, mais pas une attaque réelle. Existe-t-il des exemples de personnes ayant réussi à interférer avec les systèmes informatiques d'une voiture??

Les attaques visant les fonctions de déverrouillage sans clé ne manquent pas. L'un d'entre eux a même été présenté cette année à la conférence Blackhat sur la sécurité à Las Vegas par le chercheur en sécurité australien Silvio Cesare.

Utilisant seulement 1 000 dollars d’outils standard, il a été en mesure de fausser le signal d’une clé, lui permettant de déverrouiller une voiture à distance. L'attaque repose sur la présence physique d'une personne près de la voiture, potentiellement pendant quelques heures, puisqu'un ordinateur et une antenne radio émet tente de forcer brutalement le récepteur intégré au système de déverrouillage sans clé de la voiture..

Une fois la voiture ouverte, l’attaquant pourrait alors potentiellement tenter de la voler ou s’aider lui-même pour tout objet laissé sans surveillance par le conducteur. Il y a beaucoup de potentiel de dégâts ici.

Y at-il des défenses?

Ça dépend.

Il existe déjà une forme de protection contre la vulnérabilité d'accès à distance découverte par Charlie Miller et Chris Valasek. Au cours des mois qui ont suivi leur entretien avec Blackhat, ils ont été en mesure de construire un dispositif qui agit comme un système de détection d'intrusion (IDS). Cela n'arrête pas une attaque, mais indique plutôt au conducteur quand une attaque peut être en cours. Cela coûte environ 150 dollars par pièce et nécessite un peu de savoir-faire en électronique pour construire.

La vulnérabilité de Zubie est un peu plus délicate. Bien que le trou ait été corrigé depuis, la faiblesse ne réside pas dans la voiture, mais plutôt dans le périphérique tiers qui lui était associé. Alors que les voitures ont leurs propres insécurités architecturales, il semble que l'ajout de suppléments supplémentaires ne fait qu'augmenter les possibilités d'attaque..

Peut-être le seul moyen d'être vraiment Sécuriser, c'est conduire une vieille voiture. Un modèle qui manque des fonctionnalités sophistiquées des voitures modernes haut de gamme et de la nécessité de placer des objets dans votre port ODBII. Il y a la sécurité dans la simplicité.

Est-il sécuritaire de conduire ma voiture??

La sécurité est un processus évolutif.

Au fur et à mesure que les gens comprennent mieux les menaces qui pèsent sur un système, celui-ci évolue pour se protéger contre eux. Mais le monde de l'automobile n'a pas encore eu son ShellShock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité d'OS X et Linux ou HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? . J'imagine que, dès la première menace critique - c'est le premier jour zéro - les constructeurs automobiles vont réagir de manière appropriée et prendre des mesures pour rendre la sécurité des véhicules un peu plus rigoureuse..

Mais que pensez-vous? Est-ce un peu optimiste? Craignez-vous que des pirates informatiques prennent le contrôle de votre voiture? Je veux en entendre parler. Laissez moi un commentaire ci-dessous.

Crédits photos: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.