Passer au contenu

Il a piraté les voitures connectées de BMW, Mercedes et Chrysler

Les applications mobiles compagnon de ces trois constructeurs gèrent mal les connexions chiffrées, permettant à un pirate de voler les données d’accès.

Il y a quelques jours, à l’occasion de la conférence de hackers DEF CON 23, le chercheur Samy Kamkar a présenté un dispositif baptisé OwnStar, qui permet de voler les codes de connexion de l’appli mobile compagnon de certaines voitures de General Motors. Et, par conséquent, de les déverrouiller à distance ou de les démarrer. L’attaque reposait sur le fait que l’application mobile ne vérifiait pas les certificats TLS/SSL, ouvrant de manière triviale la porte aux interceptions « Man in the middle ».

Or, il s’avère maintenant que ce type de vulnérabilité existe également chez d’autres constructeurs. Sur Twitter, Kamkar indique pouvoir réaliser la même attaque sur des voitures de BMW, Mercedes-Benz et Chrysler. Il a mis à jour en conséquence son dispositif OwnStar.

https://twitter.com/samykamkar/status/631883931021742080

Toutefois, pas la peine de paniquer. Selon EnGadget, le chercheur en sécurité ne publiera pas le nouveau code source avant une trentaine de jours, histoire de donner le temps aux trois constructeurs de créer et diffuser leurs patchs. D’ici là, les détenteurs d’une BMW, Mercedes ou Chrysler sont invités à ne pas utiliser leurs applications mobiles.

Ci-dessous, le dispositif d’interception créé par Samy Kamkar:

Le dispositif d'interception de Samy Kamkar.
Le dispositif d’interception de Samy Kamkar.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN