Des millions de voitures connectées à la merci d'applications Android
Que valent les applications Android que nombre de constructeurs populaires de voitures haut de gamme fournissent à leurs clients pour leur permettre d'ouvrir les portières, d'allumer les appareils auxiliaires, d'avoir un suivi GPS, voire de démarrer le moteur depuis un smartphone?? Les chercheurs en sécurité de Kaspersky Lab se sont penchés sur la question. Car ces applications, aussi pratiques qu'elles soient, pourraient être utilisées par les voleurs de voitures pour en faciliter leurs forfaits.
Mikhail Kuzin et Victor Chebyshev ont, depuis le laboratoire russe, décortiqué sept applications de sept constructeurs automobiles dont ils se garderont de donner les noms mais assurent qu'ils sont « populaires ». D'ailleurs, les applications en questions ont été installées entre des centaines de milliers de fois et plusieurs millions selon la marque du véhicule. Si les défauts de sécurité qu'ils ont découverts ne permettent pas le vol direct du véhicule, la profondeur de leurs vulnérabilités en ouvre largement l'accès.
Toutes les applications sont vulnérables
Les chercheurs se sont arrêtés sur plusieurs critères essentiels?: vérifier s'il est possible de faire de l'ingénierie inversée du code de l'application afin d'en récupérer les sources pour en exploiter les faiblesses; la qualité du mode d'authentification de l'application (notamment si les identifiants sont conservés sur le terminal en texte plein et lisible par un malware); la protection de superposition de la fenêtre d'application (et éviter le vol de données saisies sur l'écran); ou encore la présence d'un contrôle d'intégrité de l'application (notamment pour éviter qu'une version vérolée de celle-ci soit mise en ligne dans un magasin applicatif).
« Malheureusement, toutes les applications se sont révélées vulnérables aux attaques d'une manière ou d'une autre », indiquent les experts sur le blog de l'éditeur. Globalement, toutes les applications permettent d'ouvrir les portes du véhicules et certaines d'en démarrer le moteur. Aucune n'est équipée d'une protection d'offuscation interdisant l'ingénierie inversée, une seule laisse les identifiants en clair (si tant est qu'elle y fasse appel); et la détection des permissions root, le contrôle d'intégrité ou la protection de superposition pour la fenêtre d'application sont simplement ignorées. « Aucune des applications examinées ne disposent de mécanismes de défense », insistent les chercheurs.
Une sécurité bas de gamme
Certes, dans la plupart des cas, l'utilisation du véhicule nécessite une clé (numérique) pour démarrer son moteur. Mais, une fois à l'intérieur du véhicule (grâce à l'application) les voleurs peuvent utiliser une «?unité de programmation?» (la mallette informatique) pour écrire une nouvelle clé dans le système embarqué de la voiture. Et en prendre le contrôle total. Autant dire que, contrairement aux véhicules qu'elles accompagnent, la sécurité des applications des constructeurs est loin d'être du haut de gamme.
Pour l'heure, ce n'est pas un problème. Kaspersky ne constate aucune exploitation de ces applications ni l'existence d'un cheval de Troie qui permettrait de prendre le contrôle à distance du véhicule par leur intermédiaire. Mais ce ne serait qu'une question de temps. « Les Trojans sont très flexibles aujourd'hui?: si l'un d'eux est persistant, il peut alors télécharger un fichier de configuration d'une application de voiture à un serveur de commande et contrôle à la demande des criminels. Le Trojan pourrait également supprimer le fichier de configuration et le remplacer par un fichier modifié. Dès que tout cela devient financièrement viable pour les cybercriminels, de nouvelles capacités [d'attaques] arriveront bientôt même pour les chevaux de Troie les plus courants », alertent l'équipe de Kasperky. Le compte-à-rebours est déclenché pour les constructeurs automobiles.
Lire également
Pirater les voitures sans chauffeur en aveuglant leurs capteurs
Sécurité : toutes les Volkswagen peuvent être ouvertes sans clef
203 millions de voitures connectées « upgradables » à distance en 2022
Crédit Photo : Dejan Dundjerski-Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité