Une Mercedes-Benz contrôlée à distance via une faille de sécurité

Le par Carolina T.  |  7 commentaire(s)
Mercedes benz logo

Le monde du piratage automobile est animé par des chercheurs en sécurité dont le but est de trouver la moindre faille et de l’exploiter au maximum. La conférence sur la sécurité Black Hat de cette année, bien que virtuelle, a apporté son lot de surprises.

Les chercheurs en sécurité de l'équipe Sky-Go, l'unité de piratage automobile de Qihoo 360, ont découvert plus d'une douzaine de vulnérabilités dans une voiture Mercedes-Benz Classe E qui leur permettait d'ouvrir ses portes à distance et de démarrer le moteur. La plupart des voitures modernes sont équipées d'une connexion Internet, ce qui permet aux passagers d'accéder aux divertissements, à la navigation et aux itinéraires embarqués, ainsi qu'à de nombreuses stations radio. Mais connecter une voiture à Internet l'expose à un plus grand risque d'attaques à distance comme lorsque Miller et Valasek ont détourné une Jeep, qui s'est retrouvée dans un fossé.

Bien que la sécurité des véhicules se soit améliorée au cours des 5 dernières années, les chercheurs de Sky-Go ont montré que même un des modèles Mercedes-Benz les plus récents n’est pas insensible aux attaques. Après plus d'un an de recherche, le résultat final a été une série de 19 vulnérabilités qui ont formé une chaîne d'attaque permettant de contrôler à distance le véhicule. Dans un premier temps, les chercheurs ont construit un banc d’essai pour procéder à la rétro-ingénierie des composants de la voiture et rechercher ses vulnérabilités physiques.

 Mercedes Benz EQA

Ils ont ensuite obtenu une voiture Series-E pour vérifier leurs résultats. Au cœur de la recherche se trouve l'unité de commande télématique de la série E, ou TCU, qui est le composant “clé” de la voiture au niveau de la sécurité car il permet au véhicule de communiquer avec Internet. En altérant le système de fichiers du TCU, les chercheurs ont eu accès à un shell racine, un moyen d'exécuter des commandes avec le plus haut niveau d'accès aux composants internes du véhicule. Grâce à cet accès, les chercheurs ont pu ouvrir les portes de la voiture à distance.

Le système de fichiers TCU stock également les secrets de la voiture, comme les mots de passe et les certificats, qui protègent le véhicule contre l'accès ou la modification sans autorisation appropriée. Mais les chercheurs ont pu extraire les mots de passe de plusieurs certificats pour plusieurs régions différentes, dont l'Europe et la Chine. En obtenant les certificats du véhicule et leurs mots de passe, les chercheurs pourraient accéder en profondeur au réseau interne du véhicule. Le certificat de la voiture pour la région chinoise avait un mot de passe de faible sécurité ce qui facilite le détournement d'une voiture vulnérable dans le pays. L'objectif était d'accéder à l'arrière de la voiture, le cœur du réseau interne du véhicule. Tant que les services back-end de la voiture sont accessibles de l'extérieur, la voiture risque d'être attaquée, ont déclaré les chercheurs.

Au final, les chercheurs ont établi que la conception de la sécurité de la voiture était solide et capable de résister à un certain nombre d'attaques, mais qu'elle n'était pas imperméable.

Complément d'information

Vos commentaires

Trier par : date / pertinence
Le #2105675
Il n'y aura jamais de sécurité intégrale sur ce genre de véhicule mais malgré tout ça n'empêchera pas les constructeurs de continuer leurs délires, et peu importe les accidents qui seront le fait de piratage ou de mauvais fonctionnement de l'électronique qui gère même le freinage. Enfin bref on a beau être contre ça ne changera rien
Le #2105678
GGpog a écrit :

Il n'y aura jamais de sécurité intégrale sur ce genre de véhicule mais malgré tout ça n'empêchera pas les constructeurs de continuer leurs délires, et peu importe les accidents qui seront le fait de piratage ou de mauvais fonctionnement de l'électronique qui gère même le freinage. Enfin bref on a beau être contre ça ne changera rien


Mais sur une voiture ils n'osent pas le mode avion ✈.
Ils doivent avoir peur quelle décolle.
Le #2105679
jacob13 a écrit :

GGpog a écrit :

Il n'y aura jamais de sécurité intégrale sur ce genre de véhicule mais malgré tout ça n'empêchera pas les constructeurs de continuer leurs délires, et peu importe les accidents qui seront le fait de piratage ou de mauvais fonctionnement de l'électronique qui gère même le freinage. Enfin bref on a beau être contre ça ne changera rien


Mais sur une voiture ils n'osent pas le mode avion ✈.
Ils doivent avoir peur quelle décolle.


Ou qu'elle se crash. Déjà que sans ça .....
Le #2105688
Au final, à un moment, on va se sentir plus en sécurité dans une Dacia à 8000 balles que dans une Mercedes à 80.000€
Le #2105695
saepho a écrit :

Au final, à un moment, on va se sentir plus en sécurité dans une Dacia à 8000 balles que dans une Mercedes à 80.000€


Mais oui. Le comble !
Le #2105719
Faille ou backdoor ???
Le #2106166
J'aimerais bien rencontrer un de ces hackers pour hacker la Mercédès classe A200 AMG moteur 2l 180cv qu'un mec brade au quart du prix parce que personne n'arrive à tirer quelque chose du calculateur.
Il y a 20 ans on cassait une bagnole pour un joint de culasse à 40€, maintenant on jaille (jailler verbe du 1er groupe qui veut dire benner en Galo) des caisses pour un transistor à 20 cmes sur Alibaba c'est le progrès ma brave dame!
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar