21 octobre 2024

Voitures Kia : le hacking des véhicules connectés en plein essor.

Si vous êtes propriétaire d’une voiture Kia, rassurez-vous. La faille de sécurité impliquant de nombreux véhicules n’a été détectée que par des experts de la cybersécurité. Elle a également été corrigée depuis. Cette vulnérabilité a concerné la grande majorité des véhicules sud-coréens construits après 2013. Découverte en 2024 et annoncée au grand public en septembre, cette faille de sécurité remet en question la sécurité de tous les véhicules connectés et montre comment il est facile de hacker des voitures connectées.

La découverte de la faille de sécurité sur les voitures Kia

Quatre chercheurs en cybersécurité sont à l’origine de la découverte de plusieurs failles de sécurité des voitures Kia : Neiko Rivera, Sam Curry, Justin Rhinehart et Ian Carroll. Ces vulnérabilités, si elles avaient été exploitées par des pirates, auraient pu avoir des conséquences graves. Elles concernaient les utilisateurs abonnés à l’application Kia Connect actif, mais aussi ceux qui ne disposaient pas du service connecté.

Le mode opératoire des experts dans la découverte des failles de sécurité

Les experts en cybersécurité n’ont, semble-t-il, pas rencontré beaucoup de difficulté à exploiter les failles de sécurité. Dans un premier temps, ils se sont créés un compte sur le portail Kia dédié aux concessionnaires de la marque. Avec des requêtes ciblées, ils ont obtenu un jeton d’accès et ont pu alors atteindre tous les systèmes des concessionnaires comportant les données clients. Il leur était possible d’accéder à un profil, de changer les données ou de modifier le propriétaire du véhicule Kia.

La prise de contrôle du véhicule Kia par les hackers

Outre le vol de données, les experts pouvaient également prendre le contrôle de la voiture à distance, à l’insu du conducteur. Les experts ont pu ainsi accéder aux informations essentielles de la voiture et à ses commandes. Cela comprenait notamment la position du véhicule, le verrouillage et le déverrouillage, le démarrage et l’arrêt ou encore l’activation du klaxon.

Toutes les informations relatives à la découverte de cette faille de sécurité sont détaillées dans le rapport des experts. Ils assurent que le mode opératoire n’a pas été divulgué.

Hacker des voitures connectées : un piratage facile déjà rencontré

Kia n’est pas le seul constructeur à être montré du doigt pour une faille de sécurité. Ce même groupe d’experts, des white hat (des hackers éthiques), a mis en avant d’autres problèmes similaires. En usant plus ou moins du même mode opératoire, ils ont pu pirater les systèmes de Hyundai, Honda ou encore Nissan. Les tests de piratages éthiques sur les voitures de Sam Curry sont accessibles sur son compte X (ex Twitter).

Notez que ces piratages éthiques ne sont pas le seul fait de groupes d’experts outre-Atlantique. En France, et à Rennes précisément, un autre spécialiste de la sécurité a démontré la facilité de hacker des voitures par de multiples moyens.

Ces hacking dressent un constat alarmant : les pirates malveillants sont capables de prendre la possession de nombreux véhicules connectés. Potentiellement, les voitures peuvent devenir des armes pour des cyberterroristes. Autre problématique : le pirate n’a plus besoin de se trouver à proximité du véhicule pour en prendre le contrôle. Il peut se situer ailleurs, dans un autre pays.

La sécurité des véhicules connectés jugée trop faible : des menaces accrues

Les véhicules connectés représentent désormais des cibles faciles pour les cybercriminels, comme peuvent l’être un ordinateur et un système informatique. La sécurité des voitures devrait être une préoccupation majeure des constructeurs. Le développement de ces véhicules 2.0 offre de nombreux avantages, mais dispose également de failles notables.

Des logiciels embarqués et de nombreux points d’entrée pour les hackers

Les technologies intégrées dans une voiture sont multiples. Vous disposez de nombreux logiciels embarqués pour votre confort de conduite (GPS, assistant de conduite, gestion du véhicule, etc.). Pour fonctionner, ces technologies nécessitent le Wifi, le Bluetooth ou encore une connexion 5G. Ce sont autant d’éléments exploitables par des hackers, dès lors que la voiture est connectée. Le pirate peut lancer une attaque sur les logiciels, s’introduire via la connexion internet, etc.

L’augmentation des surfaces d’attaques des voitures s’est développée au fur et à mesure de l’intégration des services connectés de votre voiture. Votre application dédiée est, elle aussi, un risque potentiel d’intrusion.

Aucune standardisation des systèmes de sécurité chez les constructeurs

Tous les constructeurs disposent de leurs propres outils. Le développement des technologies embarquées s’est fait sans aucune concertation. Par exemple, Renault peut avoir une solution de sécurité totalement différente de celle de Tesla. Selon l’implication d’un constructeur en matière de cybersécurité, des véhicules peuvent être plus vulnérables que d’autres. Cette disparité fait le jeu des hackers. Puisqu’il n’existe aucun standard, chaque groupe automobile procède avec ses moyens et ses propres experts. En cas d’attaque, les plans de défense et les actions de réparation ne peuvent être partagés.

De nouvelles données personnelles disponibles pour les hackers

Votre voiture connectée apporte une nouvelle source de données intéressantes pour les hackers. Votre véhicule conserve en effet son historique de déplacement, votre manière de conduire et les différentes connexions avec un ou plusieurs téléphones. Ce type de données peuvent être exploitées par les pirates, pour étudier votre comportement et mieux cibler leur campagne de phishing. Par ailleurs, les hackers peuvent également surveiller vos déplacements et s’en servir contre vous.

Le manque de sensibilisation des utilisateurs face aux risques liés à leur voiture

La voiture connectée est souvent perçue comme un gadget. De votre téléphone, vous pouvez mettre en route le chauffage par exemple. Si ces points de conforts sont appréciés des conducteurs, qu’en est-il de leur connaissance en matière de cybersécurité ? Les voitures sont pensées pour assurer votre sécurité physique, mais qu’en est-il de votre sécurité numérique ?

Votre voiture doit désormais recevoir, comme votre téléphone, des mises à jour de sécurité régulières. Vous devez choisir un mot de passe plus sécurisé, différents de ceux utilisés habituellement. Les conducteurs doivent désormais percevoir leur voiture comme un appareil connecté, au même titre qu’un ordinateur ou téléphone.

Les enjeux en cybersécurité pour les véhicules connectés

Pour répondre aux enjeux de la cybersécurité nés avec le développement des véhicules connectés, des mesures sont à mettre en place. Elles concernent aussi bien les responsabilités des constructeurs, des conducteurs que celles des assurances.

Collaboration entre les équipes de sécurité physique et les équipes de cybersécurité

Les ingénieurs automobiles conçoivent les véhicules pour la sécurité physique des conducteurs. Désormais, cette sécurité passe également par la sécurité numérique. Car en cas de détournement d’une voiture ou de prise de contrôle à distance, l’intégrité physique reste omniprésente. C’est pourquoi il est nécessaire d’impliquer désormais les concepteurs de véhicules avec les experts de la sécurité numérique pour assurer la protection des utilisateurs.

La protection des données personnelles

Aujourd’hui, les constructeurs sont concernés par la réglementation RGPD. Les véhicules collectent de nombreuses données sur les conducteurs, soumises à la protection de la vie privée. Les marques automobiles doivent ainsi mettre en place des mesures de sécurité afin que ces informations soient protégées et inaccessibles aux tentatives de hacking.

La mise en place de solutions de sécurité sur les systèmes connectés

Aujourd’hui, un cyberterroriste qui souhaite prendre le pourvoir sur un véhicule peut s’introduire dans les systèmes par divers moyens, dont internet. Il peut accéder au freinage, au régulateur de vitesse, saboter les airbags, etc. Tous les systèmes électroniques doivent être sécurisés afin de limiter les menaces et les risques.

Des risques de cyberattaques mondiales

Avec la mondialisation, le monde entier roule dans les mêmes voitures. Imaginez un cybercriminel s’appropriant le système Tesla. Son attaque peut être centralisée à une zone, mais il peut également l’étendre aux voitures du monde entier. Au même moment, il peut donc se produire des accidents majeurs. Les cyberattaques massives ont déjà eu lieu et ont montré leur efficacité.

La mise à jour des politiques d’assurance des voitures

L’aspect connecté des véhicules remet également en question l’assurance automobile. Dans le cas d’une cyberattaque causant des dommages physiques, les assureurs ne peuvent plus incriminer le conducteur. D’autres responsables entrent en jeu, comme les éditeurs de logiciels, les constructeurs et les cybercriminels. Les conducteurs devront également se montrer vigilants sur les mises à jour de sécurité pour ne pas engager leur responsabilité. Les assurances sont-elles prêtent à s’occuper de ces nouveaux cas de figure ?

La prévention auprès des conducteurs : un enjeu majeur pour limiter les risques de piratage

Les conducteurs doivent prendre conscience qu’ils ne conduisent plus les mêmes voitures qu’il y a 10 ans. Ils ne possèdent désormais ni plus ni moins qu’un appareil connecté, sujet à des tentatives de piratage. Une sensibilisation sur ce nouvel état de fait est nécessaire : la voiture peut désormais être piratée au même titre que votre ordinateur professionnel. Cette sensibilisation peut améliorer les comportements et ajouter plus de prudence à l’utilisation de ces outils connectés.

Les failles de sécurité détectées dans les systèmes de nombreux constructeurs automobiles sont une véritable sonnette d’alarme. Les cyberterroristes sont en mesure d’exploiter ces vulnérabilités et de transformer tout véhicule en arme de guerre. La cybersécurité prend désormais tout son sens dans le domaine automobile.

Plus

d'articles

8 novembre 2024

Le FBI dispose d’une liste de hackers les plus recherchés au monde. Ces cybercriminels sont réputés pour leurs actions notables […]

17 octobre 2024

Le 26 mars dernier, le scandale éclate à la FFF. La Fédération française de Football est victime d’un piratage d’envergure. […]

11 octobre 2024

Les applications mobiles sont indispensables à notre quotidien. Elles nous apportent la météo, notre messagerie, nous aident à faire nos […]

24 septembre 2024

La sécurité du cloud est un enjeu majeur pour les entreprises et services de cybersécurité. Cet environnement nécessite des processus […]

12 septembre 2024

Le réseau social chinois TikTok est largement surveillé par les experts en cybersécurité. Les autorités ont également lancé de nombreux […]

3 septembre 2024

L’histoire de la cybersécurité est ponctuée par des incidents et des attaques marquantes. Toutes ont eu d’importantes répercussions sur leur […]