Peut-on aujourd’hui faire confiance à la sécurité informatique des grands constructeurs automobiles, alors même que nos véhicules sont de plus en plus connectés ? Au cœur de cette question brûlante, une faille récemment découverte dans le portail en ligne d’un constructeur mondialement connu jette un doute profond sur la protection de nos données et l’intégrité de nos voitures.
Le chercheur en sécurité Eaton Zveare, habitué à débusquer les faiblesses des systèmes automobiles, a mis au jour une vulnérabilité sur un portail centralisé donnant accès à plus de 1 000 concessions américaines. Mais que se serait-il passé si ce n’était pas un chercheur mais un pirate mal intentionné qui avait exploité cette faille ? En un clic, Zveare aurait pu consulter données personnelles, informations financières, et suivre les véhicules à la trace. À quel point sommes-nous réellement exposés sans même le savoir ?
En pénétrant cet univers numérique réservé aux professionnels, Zveare s’est retrouvé avec des droits d’administrateur quasi illimités. Un simple bug dans la page de connexion du portail – visible dans le code chargé sur le navigateur – lui a permis de contourner la sécurité et de se créer un compte « admin national ». Est-ce un simple accident ou la preuve d’une superficialité chronique dans la gestion de l’authentification ?
Un détail négligé dans une API peut suffire à ouvrir la porte à des intrusions massives.
Les applications de ce genre de faille font froid dans le dos : voler l’identité d’un propriétaire d’un simple coup d’œil sur le numéro VIN visible au pare-brise, accéder à des modules permettant de déverrouiller des voitures à distance, usurper l’identité d’autres utilisateurs, naviguer librement d’une concession à l’autre grâce au système d’authentification unique… Et si demain un individu mal intentionné décidait de prendre le contrôle à distance d’un parc entier de véhicules ?
Zveare souligne que ce type de vulnérabilité est loin d’être isolé et rappelle de précédentes découvertes touchant notamment Toyota. Les portails interconnectés et les fonctions d’« impersonation » (usurpation d’utilisateur) sont devenus la norme, autant de portes d’entrée à des intrusions à grande échelle. Qu’est-ce qui empêche aujourd’hui un vrai cybercriminel d’utiliser ces outils pour cambrioler, escroquer, voire mettre en danger des propriétaires de voitures connectées ?
La réaction du constructeur, bien qu’efficace – correction de la faille en une semaine – n’occulte pas la question de fond. Le bug n’aurait, selon l’enquête, pas été exploité avant la découverte de Zveare. Devons-nous en déduire que la sécurité n’est, au fond, assurée que par l’anonymat ou la chance ? Combien de « portes dérobées » dorment encore dans les coulisses numériques de nos objets du quotidien ?
La conclusion de Zveare est sans appel : « Deux simples bugs d’API ont suffi à faire tomber les barrières ; dès que l’authentification est compromise, tout le système s’effondre. » Face à la prolifération des véhicules connectés et à la sophistication croissante des hackers, qui prendra réellement au sérieux ces avertissements avant le scandale de trop ?
Quand les voitures deviennent des ordinateurs roulants, comment garantirons-nous la sécurité de nos données et de nos vies ?
Source : Techcrunch
