News: 2023-01-11T01_30_00Z

  ARM Give a man a fire and he's warm for a day, but set fire to him and he's warm for the rest of his life (Terry Pratchett, Jingo)

Cybersécurité : des voitures vulnérables, certaines failles très graves

(2023/01/11)


Cybersécurité : des voitures vulnérables, certaines failles très graves

mercredi 11 janvier 2023

Un chercheur en sécurité a dévoilé des failles liées à des véhicules connectés chez plusieurs grands constructeurs automobiles. La gravité varie selon les modèles. Qu’en retenir ?

La semaine dernière, Sam Curry, un chercheur en sécurité des applications Web, [1]a partagé les détails de failles détectées dans certains modèles de voitures de plusieurs grands constructeurs automobiles, tels que BMW, Land Rover, Mercedes-Benz et Toyota.

Des vulnérabilités inquiétantes ont été identifiées. Dans certains cas, certaines failles donneraient la possibilité au cybercriminel de déverrouiller le véhicule, de le démarrer, de le déclarer volé ou encore, de suivre ses déplacements. En outre, des vulnérabilités API ont été également découvertes, [2]confirme ce rapport , qui pourraient permettre à un cybercriminel d’accéder à des informations sensibles. Rien d’étonnant à cela pour Sandeep Singh, directeur principal des Services Techniques chez HackerOne :

« L’interconnectivité de nos appareils du quotidien complexifie la sécurisation des voitures. Les chiffres le montrent clairement : les cyberattaques sur les voitures ont augmenté de 225 % au cours des trois dernières années, et 84,5 % de ces attaques ont été exécutées à distance. Les acteurs de la menace sont naturellement attirés par l’appât du gain facile, et puisque nos smartphones contrôlent désormais de plus en plus d’appareils, y compris nos voitures, il n’est pas surprenant de voir une hausse des attaques visant l’industrie automobile. »

Pour lui, à mesure que la technologie automobile devient plus avancée, la complexité des systèmes logiciels augmente également. Une connaissance des réglementations en matière de sécurité des véhicules, notamment les normes ISO 26262 et ISO 21434, est nécessaire pour mettre en place des stratégies de sécurité efficaces pour protéger les véhicules connectés . Problème : ces compétences sont relativement rares.

Le hacking éthique cher à HackerOne refait surface. Il ajoute :

« De plus en plus de constructeurs collaborent désormais avec des hackers qui sont disponibles pour identifier et combler les failles de sécurité détectées dans les systèmes automobiles complexes : le Hacker Report 2022 a notamment montré une augmentation de 400 % des programmes de hacking éthique dans le secteur automobile depuis 2021. Et avec le développement de nouveaux modèles toujours plus connectés et sophistiqués, la tendance devrait clairement s’intensifier. »

[3]



[1] https://samcurry.net/web-hackers-vs-the-auto-industry/

[2] https://upstream.auto/2022report/

[3] https://www.toolinux.com/?cybersecurite-des-voitures-vulnerables-certaines-failles-tres-graves#forum



"To IBM, 'open' means there is a modicum of interoperability among some of their
equipment."
-- Harv Masterson