Il y a quelques jours, à l’occasion de la conférence de hackers DEF CON 23, le chercheur Samy Kamkar a présenté un dispositif baptisé OwnStar, qui permet de voler les codes de connexion de l’appli mobile compagnon de certaines voitures de General Motors. Et, par conséquent, de les déverrouiller à distance ou de les démarrer. L’attaque reposait sur le fait que l’application mobile ne vérifiait pas les certificats TLS/SSL, ouvrant de manière triviale la porte aux interceptions « Man in the middle ».
Or, il s’avère maintenant que ce type de vulnérabilité existe également chez d’autres constructeurs. Sur Twitter, Kamkar indique pouvoir réaliser la même attaque sur des voitures de BMW, Mercedes-Benz et Chrysler. Il a mis à jour en conséquence son dispositif OwnStar.
I've updated OwnStar to also unlock cars from and attack BMW Remote, Mercedes-Benz mbrace, and Chrysler Uconnect. https://t.co/qRsjtLnRlM
— samy kamkar (@samykamkar) August 13, 2015
Toutefois, pas la peine de paniquer. Selon EnGadget, le chercheur en sécurité ne publiera pas le nouveau code source avant une trentaine de jours, histoire de donner le temps aux trois constructeurs de créer et diffuser leurs patchs. D’ici là, les détenteurs d’une BMW, Mercedes ou Chrysler sont invités à ne pas utiliser leurs applications mobiles.
Ci-dessous, le dispositif d’interception créé par Samy Kamkar:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.