Cette faille a ete annoncee par les experts en cybersecurite Kaspersky dans l'apres-midi du 12 novembre apres une evaluation de la securite. En exploitant la faille zero-day dans une application publique d'un entrepreneur partenaire l'agresseur peut tout a fait prendre le controle du systeme de telemetrie (systeme de collecte et de traitement des donnees routieres) du vehicule.
Cet acte d'agression menace directement la securite des conducteurs et des passagers. Par exemple l'agresseur peut forcer la voiture a changer de numero ou eteindre le moteur pendant qu'il se deplace.
Les risques existants
L'evaluation de la securite a ete realisee a distance en se concentrant sur les services publics du fabricant et les infrastructures de l'entrepreneur. Kaspersky a identifie un certain nombre de ports d'acces en ligne de l'entreprise qui ont ete accidentellement divulgues sur Internet sans une couche de securite complete.
Tout d'abord grace a une faille zero-day de type inserant du logiciel malveillant dans une commande SQL pour acceder illegalement aux donnees de l'application wiki les experts ont extrait une liste d'utilisateurs de l'entrepreneur ainsi que des password hash (version cryptee bidirectionnelle du mot de passe et incapable de lire directement).
En raison d'une politique de securite faible certains password hash ont ete dechiffres avec succes ouvrant la voie a une intrusion plus profonde dans le systeme de suivi des incidents de l'entrepreneur (ce systeme de suivi est utilise pour gerer et suivre les taches les erreurs ou les incidents dans le projet).
Notamment ce systeme contient des details de configuration sensibles sur l'infrastructure telematique du fabricant notamment un fichier contenant le mot de passe de l'utilisateur sur l'un des serveurs telematiques de l'entreprise.
Pour le systeme de voitures connectees Kaspersky a detecte que le pare-feu etait mal configure et avait divulgue certains serveurs internes.
Plus alarmant encore l'equipe d'experts a egalement decouvert une commande de mise a jour du firmware qui permettait de telecharger la version modifiee du firmware sur le controleur telematique du vehicule. Cela signifie qu'ils pouvaient acceder au reseau de communication interne du vehicule le systeme responsable de la connexion et de la coordination des operations entre les pieces du vehicule telles que le moteur et les capteurs.
Apres avoir acces a ce reseau les experts peuvent affecter de nombreuses fonctions importantes de la voiture telles que le controle du moteur ou de la boîte de vitesses. Dans la pratique si elles sont exploitees ces failles peuvent menacer directement la securite du conducteur et des passagers.
La recommandation
Kaspersky recommande aux entrepreneurs et partenaires technologiques du secteur automobile de :
- Limiter l'acces Internet aux services Web via VPN et isoler les services du reseau interne de l'entreprise
- Se separer des services web pour ne pas etre lies au reseau interne de l'entreprise
- Mise en œuvre stricte de la politique de mot de passe
- Activation de l'authentification a deux facteurs (2FA)
- Numerisation de donnees sensibles
Integrer un systeme de journalisation (logging) avec la plateforme SIEM pour suivre et detecter les incidents en temps reel. SIEM est un systeme de gestion d'evenements et d'informations de securite qui permet de detecter rapidement les comportements anormaux ou les cyberattaques.
Pour les constructeurs automobiles les experts en cybersecurite recommandent de limiter l'acces a la plateforme telematique du reseau de connexion du vehicule de ne permettre que les connexions reseau figurant sur la liste autorisee d'inactiver le mecanisme de connexion via le mot de passe SSH d'exploiter les services avec les pouvoirs minimaux necessaires d'assurer l'authentification des commandes transmises au TCU (controleur telematique du vehicule) et d'integrer la plateforme SIEM.
