Les failles permettraient de déverrouiller et démarrer la voiture à distance

Les inconvénients de la voiture connectée continuent de peser sur l’industrie automobile, comme en témoignent les dernières failles, trouvés dans les versions 3.9.4 et 3.9.5 de l’application mobile Hyundai Blue Link, qui permettrait à un attaquant de localiser, déverrouiller et démarrer la voiture à distance.

L’application Blue Link est compatible avec les véhicules Hyundai 2012 et les plus récents et permet aux conducteurs d’utiliser leurs téléphones pour le démarrage à distance, les services de localisation, le déverouillage et le verrouillage des automobiles associées et d’autres fonctionnalités. Selon les chercheurs de Rapid7, Will Hatzer et Arjun Kumar, les problèmes permettent également l’accès aux journaux qui contiennent des informations personnelles, y compris le nom d’utilisateur, le mot de passe, le code PIN et les données GPS historiques concernant l’emplacement du véhicule.

« En raison de la dépendance à l’égard des communications en clair et de l’utilisation d’un mot de passe de décryptage codé, deux versions obsolètes … potentiellement exposer des informations sensibles sur les utilisateurs enregistrés et leurs véhicules », ont-ils expliqué dans une analyse. « [Ces] versions des applications mobiles Hyundai Blue Link chargent des journaux d’application sur une adresse IP statique sur HTTP sur le port 8080. Le journal est crypté à l’aide d’une clé symétrique qui est définie dans l’application Blue Link et ne peut pas être modifiée par l’utilisateur. « 

Attaque MitM possible

L’exposition potentielle aux données peut être exploitée un utilisateur à la fois via une écoute passive sur Wi-Fi instable ou par des méthodes d’attaque type Man In the Middle (MitM) pour inciter un utilisateur à se connecter à un réseau Wi-Fi contrôlé par un attaquant sur le même réseau que l’utilisateur. La bonne nouvelle est qu’il serait difficile de mener l’attaque à l’échelle, car un attaquant devrait généralement d’abord subvertir des réseaux physiquement locaux ou obtenir une position privilégiée sur le chemin réseau de l’utilisateur de l’application à l’instance de service du fournisseur.

Après avoir appris la vulnérabilité, Hyundai Motor America (HMA) a lancé une enquête pour valider la recherche et a pris des mesures immédiates pour sécuriser davantage la demande. En mars, Hyundai a mis à jour le logiciel vers la version 3.9.6, qui corrige les problèmes. La mise à jour se trouve dans les magasins standard Android et Apple.

« La confidentialité et la sécurité de nos clients sont de la plus haute importance pour HMA », a déclaré la société dans un communiqué. « HMA cherche continuellement à améliorer son application mobile et sa sécurité système. En tant que membre du Automotive Information Sharing Analysis Center (Auto-ISAC), HMA valorise l’échange d’informations de sécurité et remercie Rapid7 pour son rapport « .

A voir également : Nintendo offre une récompense pour le hack de sa Switch