Des hackers éthiques ont montré qu'il est possible de prendre le contrôle à distance de véhicules des marques Ferrari, BMW, Rolls Royce, Mercedes-Benz, ou Porsche. La relation avec les clients de ces marques a été privilégiée au détriment de la cybersécurité.

au sommaire

    Futura avait expliqué comment hacker une voiture en deux leçons et il apparait que, chez les constructeurs automobilesautomobiles, la cybersécurité ne soit toujours pas une priorité. Des véhicules les plus communs restent même plus sécurisés que les voitures les plus prestigieuses. Des marques telles que Ferrari, BMW, Rolls Royce, Mercedes-Benz, Porsche et Ford sont bien plus vulnérables que les autres aux cyberattaques selon Sam Curry, un expert en cybersécurité. Le hacker a ainsi découvert de grosses brèches sur ces véhicules au niveau du service de géolocalisation.

    Ainsi, la société Spireon, qui fournit le positionnement GPS à plus de 15 millions de véhicules et notamment à ceux des services d'urgence, est l'un des maillons faibles. Avec elle, les marques sont capables de lancer des routines à distance pour bloquer le démarrage d'un véhicule par exemple. Or, les hackers sont parvenus à accéder au tableau de bord d'administration de la société et donc aux numéros d'identification des véhicules et leur géolocalisation. En tout, c'est 1,2 million de comptes d'utilisateurs de ce système qui ont échappé au contrôle de Spireon.

    Avec ces données, les hackers ont pu aller plus loin et cibler, par exemple la marque Mercedes-Benz. Ils se sont alors rendu compte qu'ils pouvaient aller encore plus en avant en s'introduisant dans un site Web de maintenance des véhicules. À partir de ce site, ils ont pu atteindre le cœur du système informatique connecté aux véhicules de la marque. Ils pouvaient alors exécuter du code à distance, mais aussi prendre le contrôle de l'administration de l'abonnement AmazonAmazon Web Services (AWS) de la marque.

    Les marques prestigieuses misent sur la relation avec la clientèle en oubliant le côté cybersécurité. En fin de compte, les enseignes les plus renommées sont les plus vulnérables. Sur cette capture d’écran, les pirates ont pu s’introduire dans le backoffice de Mercedes avec la possibilité d’élever leurs privilèges pour aller toujours plus loin. © Sam Curry
    Les marques prestigieuses misent sur la relation avec la clientèle en oubliant le côté cybersécurité. En fin de compte, les enseignes les plus renommées sont les plus vulnérables. Sur cette capture d’écran, les pirates ont pu s’introduire dans le backoffice de Mercedes avec la possibilité d’élever leurs privilèges pour aller toujours plus loin. © Sam Curry

    Les hackeurs éthiques pour renforcer la sécurité

    Le cas de Mercedes n'est pas unique, les hackers se sont aussi attaqués à des constructeurs prestigieux comme Ferrari. Ils ont constaté que, malgré les mesures d'authentification, des sous-domaines comme "api.ferrari.com", "cms-dealer.ferrari.com", "cms-new.ferrari.com" et "cms -concessionnaire.test.ferrari.com" pouvaient être piratés. Grâce aux API des sites, ils ont ainsi pu accéder à des informations sensibles sur les clients de la marque. Ils auraient pu modifier, créer ou supprimer des comptes d'utilisateurs et même se référencer comme propriétaire de Ferrari.

    Selon Sam Curry, ces marques prestigieuses sont toutes concernées par ces vulnérabilités qui sont censées fluidifier leurs rapports avec les clients. Ce hacker est ce que l'on appelle un hunter, c'est-à-dire un hacker éthiquehacker éthique qui cherche une récompense pour déceler des failles. Ce chasseur de prime a donc informé les marques de ses découvertes. Elles auraient depuis corrigé l'ensemble des failles qu'il a révélé.