Des chercheurs poursuivis par VW pour dissimuler une faille de sécurité pendant deux ans

  • Gabriel Brooks
  • 0
  • 4624
  • 213
Publicité

Les vulnérabilités de sécurité logicielles sont signalées tout le temps. Généralement, lorsqu'une vulnérabilité est découverte, la réponse consiste à remercier (ou, dans de nombreux cas, à payer) le chercheur qui l'a trouvée, puis à résoudre le problème. C'est la réponse standard dans l'industrie.

Une solution résolument atypique serait de poursuivre en justice les personnes qui ont signalé la vulnérabilité pour les empêcher de parler de cela, puis de passer deux ans à tenter de dissimuler le problème. Malheureusement, c'est exactement ce que le constructeur automobile allemand Volkswagen a fait.

Carjacking cryptographique

La vulnérabilité en question était une faille du système d'allumage sans clé de certaines voitures. Ces systèmes, une alternative haut de gamme aux clés classiques, sont supposés empêcher le déverrouillage ou le démarrage de la voiture à moins que le porte-clés ne soit à proximité. La puce s'appelle le “Megamos Crypto,” et est acheté chez un tiers fabricant en Suisse. La puce est censée détecter un signal de la voiture et répondre avec un message signé de façon cryptographique. Pouvez-vous signer électroniquement des documents & devriez-vous? Pouvez-vous signer électroniquement des documents et devriez-vous? Peut-être avez-vous entendu vos amis férus de technologie utiliser à la fois les termes signature électronique et signature numérique. Peut-être que vous les avez même entendues utilisées de manière interchangeable. Cependant, vous devriez savoir qu'ils ne sont pas les mêmes. En fait,… assurant à la voiture qu'il est correct de déverrouiller et de démarrer.

Malheureusement, la puce utilise un schéma cryptographique obsolète. Lorsque les chercheurs Roel Verdult et Baris Ege ont remarqué ce fait, ils ont pu créer un programme qui casse le cryptage en écoutant les messages entre la voiture et le porte-clés. Après avoir entendu deux échanges de ce type, le programme est en mesure de réduire le nombre de touches possibles à environ 200 000 possibilités - un nombre pouvant être facilement forcé par un ordinateur..

Ce processus permet au programme de créer un “duplicata numérique” de la clé, et déverrouiller ou démarrer la voiture à volonté. Tout cela peut être fait par un appareil (comme un ordinateur portable ou un téléphone) qui se trouve à proximité de la voiture en question. Il ne nécessite pas d'accès physique au véhicule. Au total, l'attaque prend environ trente minutes.

Si cette attaque semble théorique, ça ne l'est pas. Selon la police métropolitaine de Londres, 42% des vols de voitures à Londres l'année dernière ont été perpétrés à l'aide d'attaques contre des systèmes sans clé. C’est une vulnérabilité pratique qui met des millions de voitures en danger.

Tout cela est plus tragique, car les systèmes de déverrouillage sans clé peuvent être beaucoup plus sécurisés que les clés conventionnelles. La seule raison pour laquelle ces systèmes sont vulnérables est l'incompétence. Les outils sous-jacents sont bien plus puissants que n’importe quel verrou physique.

Divulgation responsable

Les chercheurs ont initialement révélé la vulnérabilité au créateur de la puce, ce qui leur donnait neuf mois pour la corriger. Lorsque le créateur a refusé d'émettre un rappel, les chercheurs sont allés chez Volkswagen en mai 2013. Ils avaient initialement prévu de publier l'attaque lors de la conférence USENIX en août 2013, donnant à Volkswagen environ trois mois pour commencer un rappel / amélioration, avant l'attaque. devenir public.

Au lieu de cela, Volkswagen a poursuivi en justice pour empêcher les chercheurs de publier le document. Un tribunal britannique s'est rangé du côté de Volkswagen “Je reconnais la grande valeur de la liberté d'expression académique, mais il y a une autre valeur élevée, la sécurité de millions de voitures Volkswagen.”

Cela a pris deux ans de négociations, mais les chercheurs sont enfin autorisés à publier leur article, moins une phrase qui contient quelques détails essentiels sur la réplication de l'attaque. Volkswagen n'a toujours pas réparé les porte-clés, pas plus que les autres constructeurs utilisant la même puce.

Sécurité par litige

De toute évidence, le comportement de Volkswagen ici est totalement irresponsable. Plutôt que d'essayer de régler le problème avec leurs voitures, ils se sont plutôt investis pour savoir combien de temps et d'argent leur faudrait faire pour empêcher les gens de s'en informer. C'est une trahison des principes les plus fondamentaux d'une bonne sécurité. Leur comportement ici est inexcusable, honteux et autres invectifs (plus colorés) que je vous épargnerai. Autant dire que ce n'est pas ainsi que les entreprises responsables devraient se comporter.

Malheureusement, ce n'est pas non plus unique. Les constructeurs automobiles lâchent la balle de sécurité Les hackers peuvent-ils VRAIMENT prendre en charge votre voiture? Les hackers peuvent-ils vraiment prendre en charge votre voiture? beaucoup ces derniers temps. Le mois dernier, il a été révélé qu'un modèle particulier de Jeep pourrait être piraté sans fil via son système de divertissement. Dans quelle mesure les voitures autonomes et connectées à Internet sont-elles sécurisées? Quel est le niveau de sécurité des voitures autonomes connectées à Internet? Les voitures autonomes sont-elles sûres? Les voitures connectées à Internet pourraient-elles être utilisées pour causer des accidents, voire pour assassiner des dissidents? Google espère que non, mais une expérience récente montre qu'il reste encore beaucoup à faire. , quelque chose qui serait impossible dans toute conception de voiture soucieuse de la sécurité. Au crédit de Fiat Chrysler, ils ont rappelé plus d'un million de véhicules à la suite de cette révélation, mais seulement après que les chercheurs en question ont présenté le piratage d'une manière irresponsable, dangereuse et vivante..

Des millions d'autres véhicules connectés à Internet sont probablement vulnérables à des attaques similaires - mais personne n'a mis en danger imprudemment un journaliste avec eux, donc il n'y a pas eu de rappel. Il est tout à fait possible que nous ne voyions aucun changement avant que quelqu'un meure.

Le problème, c’est que les constructeurs automobiles n’ont jamais été constructeurs de logiciels auparavant - mais ils le sont maintenant. Ils n'ont pas de culture d'entreprise soucieuse de la sécurité. Ils n'ont pas l'expertise institutionnelle nécessaire pour traiter ces problèmes de la bonne manière ou pour concevoir des produits sécurisés. Quand ils sont confrontés à eux, leur première réponse est la panique et la censure, pas des corrections.

Il a fallu des décennies aux sociétés de logiciels modernes pour mettre au point de bonnes pratiques de sécurité. Certains, comme Oracle, sont toujours aux prises avec des cultures de sécurité obsolètes. Oracle veut que vous arrêtiez de leur envoyer des bogues - voici pourquoi c'est fou. Oracle veut que vous cessiez de leur envoyer des bogues - voici pourquoi c'est fou. chef, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d’Oracle s’éloigne de la norme n’a pas été bien accueillie par la communauté de la sécurité…. Malheureusement, nous n'avons pas le luxe d'attendre simplement que les entreprises développent ces pratiques. Les voitures sont des machines chères (et extrêmement dangereuses). Ils constituent l’un des domaines les plus critiques de la sécurité informatique, après les infrastructures de base telles que le réseau électrique. Avec la montée des voitures autonomes L'histoire est super: L'avenir des transports ne sera plus rien que vous ayez vu auparavant L'histoire est super: L'avenir des transports ne ressemblera à rien Vous avez vu auparavant Dans quelques décennies, la phrase voiture sans conducteur va ressembler énormément à une «voiture sans cheval», et l'idée de posséder sa propre voiture semblera aussi pittoresque que de creuser soi-même son puits. en particulier, ces entreprises doivent faire mieux, et il est de notre responsabilité de les maintenir à un niveau supérieur..

Pendant que nous y travaillons, le moins que nous puissions faire est de faire en sorte que le gouvernement cesse de permettre ce mauvais comportement. Les entreprises ne devraient même pas essayer d'utiliser les tribunaux pour cacher leurs problèmes avec leurs produits. Mais, tant que certains d'entre eux sont disposés à essayer, nous ne devrions certainement pas les laisser faire. Il est essentiel que les juges, qui connaissent suffisamment la technologie et les pratiques de l'industrie des logiciels soucieux de la sécurité, sachent que ce type d'ordre injuste n'est jamais la bonne réponse..

Qu'est-ce que tu penses? Êtes-vous préoccupé par la sécurité de votre véhicule? Quel constructeur automobile est le meilleur (ou le pire) en matière de sécurité?

Crédits d'image: ouverture de sa voiture par nito via Shutterstock




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.