La cybersécurité des véhicules connectés est un enjeu de taille, notamment face à des vulnérabilités qui pourraient compromettre la vie privée des utilisateurs. Récemment, un chercheur en sécurité, Sam Curry, a mis en lumière une faille impactante liée aux voitures Subaru. Cette découverte soulève des questions cruciales sur la sécurité des systèmes embarqués dans des millions de véhicules.
Une vulnérabilité alarmante
En raison d’une vulnérabilité de sécurité, des millions de voitures Subaru pouvaient être localisées, déverrouillées et démarrées à distance. Une année complète d’historique de localisation était accessible, avec une précision de cinq mètres. Ce trou de sécurité a permis à Curry de démontrer à quel point certains systèmes avaient encore une marge de manœuvre inquiétante.
Pour concrétiser son projet, Sam Curry a promis à sa mère d’acheter une Subaru, à condition qu’elle lui permette de tester ses compétences en piratage. Initialement, il s’est concentré sur l’application MySubaru, sans déceler de problèmes majeurs. Cependant, son instinct lui a dit de chercher plus loin.
Pour moi, il était évident que certaines applications destinées aux employés disposaient de permissions plus larges que celles pour les clients. Je me suis donc tourné vers d’autres sites liés à Subaru pour identifier de potentielles failles.
Démarche astucieuse et accessibilité des données
Au fil de ses recherches, Curry et un ami ont déniché un sous-domaine prometteur. Bien qu’il nécessitait un identifiant d’employé, une investigation dans un répertoire Javascript a révélé un code de réinitialisation de mot de passe non sécurisé. Tout ce qu’ils avaient à faire était de trouver un e-mail d’employé valide, ce qu’ils ont réussi à faire rapidement.
Avec un mot de passe réinitialisé, ils ont pu surmonter la protection à deux facteurs, qui était relativement facile à contourner. La porte d’entrée était ouverte, et la quantité d’informations accessibles était impressionnante.
Une fois connectés, j’ai trouvé une option pour connaître la « Dernière localisation connue ». J’ai saisi le nom de famille de ma mère et son code postal. Sa voiture est apparue dans les résultats de recherche, exposant un an de ses déplacements.
En explorant encore plus, ils ont réalisé qu’ils pouvaient prendre le contrôle de n’importe quelle Subaru équipée de Starlink. Avec l’accord d’un ami, ils ont réussi à ajouter leur accès à son véhicule, démontrant ainsi la portée alarmante de cette découverte.
Après avoir envoyé une commande de déverrouillage, une vidéo leur a montré la voiture s’ouvrir sans que sa propriétaire soit informée. Le sentiment de vulnérabilité de l’utilisateur face à ce scenario était palpable. Il est inquiétant de constater qu’aucune alerte ne s’est déclenchée lors de cette manipulation.
Le rapport de Curry à Subaru a été reçu avec rapidité. La faille a été corrigée dès le lendemain, la société confirmant également qu’il n’y avait pas d’autres cas d’accès non autorisé.
La conclusion de Curry est troublante : il a trouvé difficile de se convaincre que cette situation surprendrait réellement quiconque dans l’industrie de la cybersécurité. La confiance excessive dans les systèmes et la large accessibilité des données personnelles soulèvent des questions sur la sécurisation de ces équipements modernes.
La réalité est que, dans l’industrie automobile, un jeune employé peut facilement consulter les informations sensibles d’un véhicule à des milliers de kilomètres. Cela montre à quel point il est difficile de sécuriser ces systèmes, car la confiance est ancrée dans leur fonctionnement.
Photo : Subaru. GIF via Sam Curry.