Les chercheurs en Sécurité ont découvert de multiples vulnérabilités dans les unités d’infodivertissement utilisées dans certaines voitures Skoda, ce qui pourrait permettre à des acteurs malveillants de déclencher à distance certains contrôles et de suivre l’emplacement des voitures en temps réel.
PCAutomotive, une société de cybersécurité spécialisée dans le secteur automobile, a dévoilé 12 nouvelles failles de sécurité impactant le dernier modèle de la berline Skoda Superb III, au salon Black Hat Europe cette semaine. Cela survient un an après l’organisation divulgué 9 autres vulnérabilités affectant le même modèle. Skoda est une marque automobile appartenant au géant allemand de l’automobile Volkswagen.
Danila Parnishchev, responsable de l’évaluation de la sécurité chez PCAutomotive, a déclaré à fr.techtribune.netque les vulnérabilités pourraient être enchaînées et exploitées par des pirates pour injecter des logiciels malveillants dans le véhicule. Un attaquant aurait besoin de se connecter à l’unité multimédia de la Skoda Superb III via Bluetooth pour exploiter les failles, a déclaré Parnishchev à TechCrunch, mais a noté que « l’attaque peut être effectuée à moins de 10 mètres sans authentification ».
Les vulnérabilités, découvertes dans l’unité d’infodivertissement MIB3 du véhicule, pourraient permettre aux attaquants d’exécuter du code sans restriction et d’exécuter du code malveillant à chaque démarrage de l’unité. Cela pourrait permettre à un attaquant d’obtenir les coordonnées GPS du véhicule et les données de vitesse en direct, d’enregistrer des conversations via le microphone de la voiture, de prendre des captures d’écran de l’écran d’infodivertissement et de jouer des sons arbitraires dans la voiture, selon PCAutomotive.
Parnishchev a déclaré à fr.techtribune.netque les failles, que PCAutomotive a vérifiées par lui-même sur un Superb III, permettent également à un attaquant d’exfiltrer la base de données de contacts téléphoniques du propriétaire du véhicule s’il a activé la synchronisation des contacts avec sa voiture.
« Habituellement, les téléphones sont cryptés, vous ne pouvez donc pas facilement extraire la base de données de contacts », a déclaré Parnishchev. « Dans le cas de l’unité d’infodivertissement, c’est possible : la base de données des contacts est stockée en texte brut. »
Parnishchev a noté qu’ils n’avaient pas trouvé de moyen de contourner les restrictions de passerelle réseau embarquée pour accéder aux commandes essentielles à la sécurité des voitures telles que le volant, les freins et l’accélérateur.
Dans une étude partagée avec fr.techtribune.netavant sa publication jeudi, PCAutomotive a noté que les unités MIB3 vulnérables sont utilisées dans plusieurs modèles Volkswagen et Skoda, et sur la base des données de vente publiques, estime qu’il y a potentiellement plus de 1,4 million de véhicules vulnérables.
Cependant, Parnishchev a déclaré que le nombre de véhicules vulnérables pourrait être beaucoup plus élevé si l’on considère le marché des composants du marché secondaire. « Si vous allez sur eBay et que vous recherchez un numéro de pièce, vous le trouverez. Et si l’utilisateur précédent ne l’a pas effacé, sa base de contacts sera également là », a-t-il expliqué.
PCAutomotive a déclaré que Volkswagen avait corrigé les vulnérabilités après qu’elles aient été signalées par le biais du programme de divulgation de cybersécurité de l’entreprise.
Dans une déclaration envoyée par courrier électronique à TechCrunch, le porte-parole de Skoda, Tom Drechsler, a déclaré : « Les vulnérabilités signalées dans le système d’infodivertissement ont été et sont en train d’être corrigées et éliminées grâce à une gestion de l’amélioration continue tout au long du cycle de vie de nos produits. À aucun moment, il n’y a eu et il n’y a aucun danger pour la sécurité de nos clients ou de nos véhicules.
