Vendredi, le groupe BMW a indiqué avoir amélioré la sécurité de la transmission des données dans ses véhicules. En l'occurrence, le déploiement d'un patch afin de combler une vulnérabilité de sécurité mise au jour par l'ADAC, une association d'automobilistes allemands.

BMW-ConnectedDrive La vulnérabilité affectait la technologie ConnectedDrive pour une voiture connectée et équipant des modèles de BMW, des Mini mais aussi des Rolls-Royce. ConnectedDrive fournit des services par le biais d'une carte SIM intégrée au véhicule.

Reuters explique que des chercheurs en sécurité de l'ADAC sont parvenus à simuler l'existence d'un faux réseau cellulaire de téléphonie afin d'intercepter le trafic réseau de la voiture et envoyer des commandes à distance pour déverrouiller des portes.

Théoriquement, un tel déverrouillage est possible pour les propriétaires du véhicule via l'assistance en ligne de BMW. Un patch correctif active désormais HTTPS pour le chiffrement d'une communication. Il est en fait étonnant d'apprendre que ce n'était pas le cas auparavant afin de contrer des attaques de type homme du milieu.

Plus de 2,2 millions de véhicules seraient concernés. La mise à jour correctrice - qui est uniquement logicielle - se fait de manière automatique lorsque le véhicule se connecte au serveur du groupe BMW. Ce dernier dit avoir réagi rapidement mais ladite vulnérabilité a en fait été découverte l'été dernier.

Heureusement, elle n'a pas été divulguée publiquement. Évidemment, cela montre la hauteur du défi qui attend les fabricants de voitures qui devront à leur tour penser à patcher des vulnérabilités, surtout si cela peut avoir une incidence sur des fonctions plus critiques.

Source : Reuters