Des millions de voitures vulnérables au vol à cause d’une faille informatique

Voler une voiture est devenu un jeu d’enfant, du moins pour les salariés de Pen Test Partners, une entreprise britannique spécialisée dans la recherche de failles informatiques. Sur son site, elle dévoile les coulisses de sa dernière expérience: prendre le contrôle de véhicules à distance, en tirant profit de systèmes d’alarmes mal sécurisés.

D’après la démonstration de Pen Test Partners, reprise par le site de la BBC, trois marques de systèmes “intelligents” pour voitures sont concernées: Clifford, Viper, and Pandora. A chaque fois, il s’agit de boîtiers additionnels qui peuvent être montés sur le véhicule pour proposer des fonctions connectées de contrôle à distance, via une application pour smartphone. Au total, trois millions de voitures seraient concernées.

Un contrôle total sur le véhicule

Lors de leur expérience, les spécialistes britanniques ont remarqué une faille informatique permettant de modifier l’adresse mail de contact d’un utilisateur. Une fois l’opération effectuée, il suffisait alors de passer par l’option “mot de passe oublié” pour se faire envoyer un lien de réinitialisation de mot de passe sur la boîte mail de son choix. Ce qui permettait en quelques secondes de prendre le contrôle du système embarqué de n’importe quel véhicule équipé.

Comme le détaillent les chercheurs, les possibilités offertes par ces applications sont très larges. Parmi elles, la localisation d’un véhicule en temps réel, l’identification du modèle, l’arrêt du moteur, ou encore l’ouverture des portes. Dans une vidéo mise en ligne sur YouTube, ils montrent comment un hacker mal intentionné aurait pu choisir une voiture, la suivre, la stopper, puis la voler à son propriétaire.

Avant de communiquer sur ces vulnérabilités, Pen Test Partners a contacté les fabricants d’alarmes concernés. Tous ont depuis corrigé la faille. Comme le font remarquer les chercheurs, le site de Pandora a depuis retiré la mention “impiratable” de son site Web.