C'est une découverte qui donne des sueurs froides à tout automobiliste. Un chercheur en cybersécurité, Eaton Zveare, a mis au jour une faille de sécurité critique au sein des systèmes d'un grand constructeur automobile, dont le nom est volontairement gardé secret. Cette vulnérabilité permettait à n'importe qui de localiser, déverrouiller et même de démarrer à distance (pour la climatisation) le véhicule de son choix. Le point de départ de l'attaque ? Un simple numéro visible sur le pare-brise de toutes les voitures.
Crédits : Bruno Guerrero / Unsplash
La porte d'entrée : un portail de concessionnaires mal sécurisé
L'origine du problème ne se situait pas dans les voitures elles-mêmes, mais dans le portail en ligne destiné aux concessionnaires de la marque. Eaton Zveare a découvert qu'il était possible de contourner les protections de la page de connexion pour se créer un compte administrateur avec un accès illimité. Une fois à l'intérieur, un pirate pouvait consulter une quantité massive d'informations sensibles : données personnelles et financières des clients, état des stocks de véhicules neufs, et même les finances internes des concessionnaires.
Du piratage de données au contrôle du véhicule
Le véritable danger résidait dans la possibilité de lier l'accès au portail à une application mobile. Voici comment un piratage pouvait se dérouler en quelques étapes simples :
1. Un pirate repère une voiture dans un parking et relève son numéro d'identification unique (VIN) sur le pare-brise.
2. Grâce à son accès administrateur au portail, il utilise ce numéro pour retrouver toutes les informations liées au véhicule et à son propriétaire.
3. Il associe ensuite la voiture à son propre compte sur l'application mobile du constructeur.
4. Depuis son smartphone, il peut désormais contrôler à distance certaines fonctions : localiser la voiture en temps réel, verrouiller ou déverrouiller les portes et activer le moteur.
Si la faille ne permettait pas de conduire le véhicule (la clé physique reste nécessaire pour cela), elle ouvrait la porte à tous les vols dans l'habitacle. « Pour mon expérience, j'ai juste trouvé un ami qui consentait à ce que je prenne le contrôle de sa voiture », explique le chercheur, « mais le portail pourrait faire ça à n'importe qui juste en connaissant son nom, ce qui m'inquiète un peu. »
"Un cauchemar qui ne demande qu'à se produire"
Selon Eaton Zveare, la situation était un « cauchemar de sécurité qui ne demande qu'à se produire ». Le système d'authentification unique (SSO) du portail était particulièrement problématique : en piratant l'accès d'un concessionnaire, il devenait possible de naviguer vers les systèmes de plus de 1000 autres concessions. Le chercheur a même découvert une fonction permettant aux administrateurs "d'imiter" d'autres utilisateurs, accédant ainsi à leurs comptes sans même avoir besoin de leurs identifiants. Il conclut : « La leçon à retenir est que seulement deux vulnérabilités simples ont ouvert toutes les portes. »
Un problème corrigé, mais un secteur à risque
Heureusement, cette histoire se termine bien. Le chercheur a averti le constructeur automobile, qui a corrigé l'ensemble des failles en une semaine, en février 2025. Il n'est donc plus possible d'exploiter cette vulnérabilité. Cependant, ce cas rappelle que le secteur automobile reste une cible de choix pour les pirates. Des failles similaires, provenant souvent de portails de concessionnaires mal protégés, ont été découvertes ces dernières années chez de nombreuses autres marques comme Kia, Honda, Hyundai ou encore Toyota, soulignant la nécessité d'une vigilance constante pour la sécurité de nos véhicules connectés.