Voitures connectés : prêtes à résister aux attaques de malware ?

0

Les chercheurs de Kaspersky Lab ont examiné la sécurité des applications de commande à distance des modèles de plusieurs grands constructeurs automobiles. Les experts de la société ont ainsi découvert que toutes ces applications présentent un certain nombre de problèmes de sécurité, susceptibles de permettre à des criminels de causer des dommages significatifs aux propriétaires de voitures connectées.

app

Exemples d’applications populaires

Ces dernières années, les véhicules ont commencé à se connecter activement à Internet, qu’il s’agisse de leurs systèmes d’info divertissement ou de leurs systèmes critiques, tels que le verrouillage des portières ou l’allumage, désormais accessibles en ligne. Au moyen d’applications mobiles, il devient possible d’obtenir les coordonnées géographiques du véhicule ainsi que son trajet, ou encore d’en ouvrir les portes, de faire démarrer le moteur et de prendre le contrôle d’autres équipements embarqués. Il est indéniable que ces fonctionnalités sont extrêmement utiles, mais comment les constructeurs protègent-ils ces applications contre le risque de cyberattaques ?

Afin de répondre à cette question, les chercheurs de Kaspersky Lab ont testé sept applications de commande à distance de véhicules développées par de grands constructeurs et téléchargées des dizaines de milliers de fois, voire jusqu’à cinq millions dans certains cas. Ils ont ainsi découvert que chacune des applications examinées présentait plusieurs problèmes de sécurité.

Parmi les problèmes de sécurité décelés :

  • Aucune défense contre une rétroingénierie de l’application. En conséquence, des utilisateurs malveillants peuvent en comprendre le fonctionnement et y détecter une vulnérabilité leur permettant d’accéder à l’infrastructure côté serveur ou au système multimédia du véhicule.
  • Aucun contrôle d’intégrité du code, ce qui offre à des criminels la possibilité d’incorporer leur propre code informatique dans l’application afin de remplacer le programme d’origine par un faux.
  • Aucune technique de détection des accès Root. Les droits Root octroient aux chevaux de Troie des capacités quasi illimitées et laissent l’application sans défense.
  • Absence de protection contre les techniques de superposition d’application, ce qui permet à des applications malveillantes d’afficher des fenêtres de phishing pour dérober les identifiants des utilisateurs.
  • Stockage des identifiants et mots de passe en clair. Grâce à cette faiblesse, un criminel peut s’approprier les données d’un utilisateur avec une relative facilité.

Une fois qu’il a réussi à exploiter une vulnérabilité, un pirate peut prendre le contrôle de la voiture, déverrouiller les portières, désactiver l’alarme et, en théorie, voler le véhicule.

Dans chaque cas, le vecteur d’attaque nécessite en plus certaines étapes préparatoires, consistant par exemple à inciter l’utilisateur par ruse à installer une application malveillante, spécialement conçue pour obtenir un accès Root au système et au programme du véhicule. Cependant, alors que les experts de Kaspersky Lab ont abouti dans leurs recherches à lad découverte de diverses applications malveillantes qui ciblent des identifiants de banque en ligne et d’autres informations sensibles, il est peu probable que cela pose un problème à des criminels aguerris dans les techniques d’ingénierie sociale, s’ils devaient décider de s’en prendre aux propriétaires de voitures connectées.

La principale conclusion de l’étude de Kaspersky Lab c’est que, « dans leur état actuel, les applications commandant les véhicules connectés ne sont pas prêtes à résister aux attaques de malware. Lorsque l’on considère la sécurité d’une voiture connectée, il ne faut pas se cantonner à l’infrastructure côté serveur. Nous pensons que les constructeurs automobiles s’exposent aux mêmes risques que les banques avec leurs applications. Au départ, les applications des banques en ligne n’intégraient pas toutes les fonctions de sécurité que nous avons répertoriées. Après de multiples cas d’attaques contre des applications bancaires, de nombreux établissements ont amélioré la sécurité de leurs produits,» commente Victor Chebyshev, Expert en sécurité chez Kaspersky Lab.

Par bonheur, ils n’ont pour l’instant détecté aucun cas d’attaque contre des applications de véhicules, ce qui signifie que les constructeurs ont encore le temps de faire ce qu’il faut. «Mais nous ignorons combien de temps exactement. Les chevaux de Troie modernes se caractérisent par une très grande flexibilité : un jour ils peuvent se comporter comme un banal adware et, le lendemain, facilement télécharger une nouvelle configuration permettant de cibler de nouvelles applications. La surface d’attaque est particulièrement vaste en l’occurrence », ajoute Victor Chebyshev.

Les chercheurs de Kaspersky Lab conseillent aux utilisateurs d’applications pour voitures connectées de prendre les précautions suivantes afin de protéger leur véhicule ainsi que leurs données privées contre d’éventuelles cyberattaques :

  • Ne « rootez » pas votre appareil Android sous peine d’offrir des capacités quasi illimitées aux applications malveillantes.
  • Désactivez la possibilité d’installer des applications provenant d’autres sources que les boutiques officielles.
  • Tenez à jour le système d’exploitation de votre appareil afin de réduire les vulnérabilités dans le logiciel et les risques d’attaque.
  • Installez une solution de sécurité éprouvée afin de protéger votre appareil contre les cyberattaques.

 

About Author

Globb Security France

Leave A Reply