Propriétaires de voitures, accrochez-vous ! Des chercheurs en cybersécurité ont révélé une vulnérabilité dans un site Web lié au constructeur automobile Kia, leur permettant de prendre le contrôle à distance de fonctions essentielles de millions de véhicules. Le rapport complet, publié sur le blog personnel de Sam Curry, l’un des chercheurs, détaille la découverte de cette brèche et la façon dont elle a été exploitée pour accéder aux voitures.
Contrôle à distance
En juin, des chercheurs ont découvert des vulnérabilités touchant les véhicules Kia, permettant de prendre le contrôle à distance de fonctions essentielles simplement en utilisant le numéro de plaque d’immatriculation. Selon leur rapport, ils ont réussi à localiser la voiture, à déverrouiller les portes, à klaxonner et même à démarrer le moteur. Sur certains modèles, ils ont également pu activer la caméra à distance. Les chercheurs ont expliqué à Wired que cela était rendu possible par une faille dans un portail Web utilisé par Kia qui donnait accès à toutes les fonctionnalités connectées des voitures du constructeur.
Sam Curry a publié une vidéo sur YouTube où il explique comment il a piraté une Kia EV6 à l’aide d’une application baptisée KIAtool. Dans la vidéo, il entre le numéro de plaque d’immatriculation et l’État d’immatriculation du véhicule pour obtenir son VIN (numéro d’identification). Avec ces informations en main, Sam Curry accède à l’onglet « Garage », clique sur « Déverrouiller » et, en un instant, les portes s’ouvrent.
Outre le contrôle des véhicules, cette faille a également permis aux pirates d’accéder à une quantité considérable d’informations personnelles des clients de Kia, incluant leurs noms, numéros de téléphone, adresses et même leurs trajets.
De nombreux constructeurs concernés ?
Les chercheurs ont rapidement informé Kia de la vulnérabilité, et la faille a depuis été corrigée. Kia affirme qu’il n’existe aucune preuve que cette brèche a été exploitée à des fins malveillantes, et que l’application KIAtool n’a jamais été rendue publique.
Fin de l’histoire, donc ? Pas tout à fait. Des vulnérabilités similaires ont déjà été découvertes sur d’autres marques automobiles, notamment Honda, Nissan, Mercedes, Hyundai, BMW et Ferrari, laissant entrevoir un problème bien plus vaste pour l’industrie. L’équipe de Curry a également découvert une faille similaire sur le portail Web de Toyota. Toyota a été informé du problème et l’a rapidement corrigé.
Malheureusement, le propriétaire lambda d’une voiture ne peut pas faire grand-chose. Les constructeurs automobiles doivent faire de la sécurité une priorité absolue. Je recommande vivement d’installer tous les correctifs logiciels disponibles pour garantir à votre véhicule la meilleure protection possible.