Dans le film Eh mec ! Elle est où ma caisse ? (2000), les téléspectateurs suivent l’histoire humoristique de deux mecs qui ont trop fait la fête et ne se rappellent plus où ils ont garé leur voiture. On est tous passés par là, bon peut-être pas au point des personnages du film. Levez la main si vous avez déjà oublié où vous étiez garé à un concert, un centre commercial, ou un supermarché.
17 ans plus tard, il existe des apps pour tout, même pour votre voiture. Si une application rend la vie plus facile, il y a de fortes chances pour que quelqu’un la développe et que de nombreuses personnes l’utilisent.
Ces dernières années, le concept des voitures connectées n’a cessé d’évoluer, et est devenu réalité. Lors de la RSA Conference de San Francisco, nos chercheurs anti-malware Victor Chebyshev et Mikhail Kuzin ont présenté leurs recherches portant sur sept applications populaires de véhicules.
Les applications semblent simplifier la vie des utilisateurs en reliant leurs appareils Android à leurs automobiles, cependant on se pose la question suivante : néglige-t-on la sécurité au profit de la commodité ? Et comme pour beaucoup d’appareils connectés de l’Internet des Objets, la réponse est, la sécurité doit être davantage une priorité pour les développeurs et les fabricants.
Les fonctions principales de ces applications sont d’ouvrir les portes et dans de nombreux cas de démarrer le véhicule. Malheureusement, des failles sur des apps pourraient être exploitées par des hackers :
Pas de protection contre la rétro-ingénierie de l’application. Par conséquent, les malfaiteurs peuvent se retrancher et trouver des vulnérabilités qui leur donnent accès à l’infrastructure du serveur ou au système multimédia de la voiture.
Pas de vérification de l’intégrité du code. Ceci permet aux cybercriminels d’intégrer leur propre code sur l’application, en ajoutant des capacités malveillantes et en remplaçant le programme original par un faux sur l’appareil de l’utilisateur.
Pas de techniques de détection de root. Les droits root donnent aux chevaux de Troie des capacités presque illimitées et laissent l’application sans défense.
Manque de protection contre les techniques de recouvrement. Cela permet aux applications malveillantes de montrer des fenêtres d’hameçonnage en haut des fenêtres des applications originales, en piégeant les utilisateurs qui saisissent leurs identifiants, et qui sont ensuite envoyés aux cybercriminels.
Stockage des identifiants et des mots de passe en texte clair. En se servant de cette faiblesse, un hacker peut détourner des données d’utilisateurs de façon relativement facile.
Une fois l’exploitation réussie, un hacker est en mesure de prendre le contrôle de la voiture, débloquer les portes, désactiver l’alarme de sécurité, et théoriquement, de voler le véhicule.
Les chercheurs ont dévoilé leurs découvertes aux développeurs (ils n’ont pas révélé de noms d’apps publiquement) et leur ont également indiqué qu’aucune exploitation n’avait été observée dans la nature. Un rapport complet et détaillé est disponible sur Securelist, où chacune des applications est évaluée.
Il est facile de faire la sourde oreille, en pensant que vous ne pourrez pas être piraté ou que c’est de la science-fiction, mais la vérité est que depuis son invention, l’automobile est une cible pour les cybercriminels. Et s’il existe un piratage pour rendre les choses plus faciles, imaginez rien qu’un seul instant les possibilités.
Un autre élément à garder à l’esprit est qu’on a déjà vu des vulnérabilités permettre à des hackers blancs de contrôler des voitures via des « vulnérabilités bénignes ». Deux histoires importantes ont marqué l’automobile ces deux dernières années avec le contrôle d’une Jeep par Charlie Miller et Chris Valasek grâce à des vulnérabilités.
#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7
— Kaspersky (@kaspersky) August 7, 2015
En fin de compte, la sécurité personnelle et l’utilisation de l’application se résument à des préférences personnelles. Le fait de partager nos données avec quelqu’un ou de faire confiance à une application est un choix qui nous appartient. Avec les appareils de l’Internet des Objets et les apps, la commodité passe trop souvent avant la sécurité.
Pour conclure, Chebyshev indique :
« Les applications pour les voitures connectées ne sont pas prêtes d’affronter des attaques de malwares. Nous espérons que les fabricants de voitures suivront la même voie que les banques en ce qui concerne les applications… Après de multiples cas d’attaques contre les applications bancaires, plusieurs banques ont amélioré la sécurité de leurs produits ».
« Heureusement, nous n’avons pas encore détecté de cas d’attaques contre des applications sur les voitures, ce qui signifie que les vendeurs ont encore le temps d’agir. Le temps qu’ils ont pour cela demeure inconnu. Les chevaux de Troie sont très flexibles, un jour ils peuvent agir comme des adwares normaux, et le lendemain peuvent facilement télécharger une nouvelle configuration et cibler de nouvelles applications. Il s’agit d’une surface d’attaque très vaste ».