[FICHE DE VULNÉRABILITÉ] Faille de sécurité sur le système de divertissement embarqué d’un modèle Volkswagen

  Les voitures connectées font de plus en plus l’objet de piratages en tous genres. Cette tendance s’accentue d’autant plus que les voitures connectées arrivent sur le marché. Computest, une firme néerlandaise spécialisée dans la sécurité informatique, a ainsi récemment publié un rapport  décrivant de manière précise le déroulement de l’attaque qu’elle a menée à distance en vue de s’introduire dans le système d’info-divertissement d’une Golf GTE et d’une Audi A3 Sportback e-tron par le biais de leur connexion Wi-Fi. Une intrusion qui leur aura notamment permis de  prendre connaissance des conversations du conducteur, de l’historique de ses déplacements et de suivre le véhicule en temps réel.

Accès administrateur d’une voiture Audi

  Le système IVI (info-divertissement) « Discover Pro » embarqué dans des véhicules de la marque Volkwagen contiendrait une vulnérabilité permettant à un individu malveillant de détourner certaines commandes. Ainsi, un pirate pourrait prendre le contrôle du microphone afin d’écouter les conversations au sein de l’habitacle et avoir accès à l’historique d’appels et autres données enregistrées dans le système selon des chercheurs de Computest, Daan Keuper et Thijs Alkemade. Les deux chercheurs ont déclaré avoir utilisé la connexion WiFi d’une voiture pour exploiter un port exposé et avoir accès à l’IVI de la voiture, fabriqué par le vendeur d’électronique Harman. Les chercheurs ont également eu accès au compte administrateur du système IVI, ce qui leur a permis d’accéder à d’autres données sur les voitures. ” Dans certaines conditions, les attaquants pourraient écouter les conversations que le conducteur mène via un kit de voiture, allumer et éteindre le microphone, ainsi qu’avoir accès au carnet d’adresses complet et à l’historique des conversations “, ont déclaré les chercheurs. ” De plus, en raison de la vulnérabilité, il y a la possibilité de découvrir à travers le système de navigation précisément où le conducteur est allé, et de suivre la voiture où qu’elle soit à tout moment.

Une prise de contrôle inquiétante

  Selon Daan Keuper et Thijs Alkemade, les auteurs du rapport, il est également possible d’accéder aux données du système de navigation. Permettant ainsi de connaître les lieux visités par le véhicule tout en offrant la possibilité de le suivre en temps réel. Beaucoup plus inquiétant : les chercheurs ont découvert que le système IVI était indirectement connecté aux freins et à l’accélérateur de la voiture. De quoi inquiéter, au regard des  attentats terroristes qui ont été perpétrés par des véhicules fonçant sur la foule, comme à Nice ou à Londres. Les deux chercheurs ont cessé d’étudier la possibilité d’interagir avec ces systèmes, craignant de violer la propriété intellectuelle de Volkswagen. Outre le vecteur d’attaque WiFi qui permettait l’accès à distance à l’IVI d’une voiture, les chercheurs ont également trouvé d’autres failles qui pouvaient être exploitées via les ports de débogage USB situés sous le tableau de bord de la voiture. Les chercheurs ont trouvé toutes ces failles en juillet 2017, et ils ont signalé tous les problèmes à Volkswagen, en participant même à des réunions avec le constructeur automobile.

  ” La vulnérabilité que nous avons d’abord identifiée aurait dû être découverte lors d’un test de sécurité adéquat “, ont déclaré des chercheurs. “Lors de notre rencontre avec Volkswagen, nous avons eu l’impression que la vulnérabilité rapportée et surtout notre approche était encore inconnue. Nous avons compris lors de notre rencontre avec Volkswagen que, bien qu’il soit utilisé dans des dizaines de millions de véhicules dans le monde entier, ce système IVI spécifique n’a pas été soumis à un test de sécurité formel. La vulnérabilité leur était encore inconnue “.

Conclusion

  Pour le moment, il ne s’agit que d’intrusions réalisées par des chercheurs et experts du domaine dans un cadre bien précis et sans aucune pensée malveillante. Reste que cela prouve que la brèche peut être ouverte, laissant entrevoir une faille qui pourrait bien être exploitée pour des usages beaucoup plus inquiétants. Une menace qui pourrait prendre une importance croissante compte tenu du développement des véhicules autonomes et des systèmes d’info-divertissement embarqués (IVI). L’équipe qui a réussi à pirater le système de la Golf GTE et de l’A3 e-tron estime que les voitures produites ces dernières années sont les plus vulnérables à une attaque potentielle. Computest encourage vivement les propriétaires d’autos récentes à demander régulièrement à leur concessionnaire si une mise à jour du logiciel d’info-divertissement est disponible, afin de se protéger du mieux qu’ils peuvent. Computest propose également de généraliser le principe de mise à jour logicielle via internet pour améliorer continuellement l’expérience utilisateur et renforcer la sécurité en corrigeant certaines failles repérées.

L’avis des experts

Les CERTs confèrent à ces vulnérabilités le score CVSS suivant selon les critères suivants :

– Vecteur d’attaque : exploitable à distance

– Complexité d’accès : facile

– Authentification : non requise

– Confidentialité : complète

– Intégrité : partiel

– Disponibilité : partiel