L’application NissanConnect EV (anciennement Carwings) permet de gérer certaines fonctions de la Nissan Leaf directement depuis un smartphone (surveillance de l’état de charge de la batterie, programmation de la recharge, mise en marche du chauffage et de la climatisation, etc.). Troy Hunt, un chercheur australien en cybersécurité, a démontré qu’une simple faille de sécurité dans l’application peut exposer au piratage l’ordinateur de bord de ce véhicule électrique.
Hunt a rendu son analyse publique plus d’un mois après avoir informé le constructeur japonais de la vulnérabilité. Le chercheur a constaté que l’accès à l’API de l’application pouvait se faire de manière anonyme. Si chaque Nissan Leaf dispose d’un identifiant unique, le VIN, seuls ses 5 derniers chiffres varient. De plus, le VIN peut être visible sur le pare-brise du véhicule ou être découvert par le biais d’un script Python. La faille mise au jour par le chercheur pourrait être utilisée pour modifier le niveau de charge de la batterie d’une Nissan Leaf et/ou accéder à l’historique de navigation routière. Un hacker, où qu’il se trouve, pourrait effectuer ces manipulations, comme s’il était le propriétaire de la voiture, sans toutefois en prendre le contrôle (ni déverrouillage, ni démarrage ou arrêt à distance ne sont possibles).
Après l’analyse publiée par Troy Hunt, le 24 février, Nissan aurait désactivé l’application. « Nissan est conscient d’un problème de données » dans l’application NissanConnect EV, a déclaré une porte-parole du constructeur, tout en affirmant que cela « n’a aucun effet sur le fonctionnement ou la sécurité du véhicule », rapporte MotherBoard. « Nos équipes ‘produit et technologies’ mondiales travaillent actuellement sur une solution pérenne et robuste », a ajouté le constructeur, sans toutefois donner de date de publication d’un correctif. Pour Troy Hunt, cet épisode démontre que les constructeurs automobiles et leurs partenaires ont encore beaucoup à faire pour sécuriser les véhicules connectés.
Lire aussi :
La voiture connectée conduira les bénéfices des opérateurs
La voiture 100 % autonome : une hérésie ?
Sécurité : des hackers testent le contrôle à distance d’une Jeep
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…