Des vulnérabilités dans le dongle de Progressive permettent d’attaquer les systèmes automobiles

Un dispositif, envoyé par une importante société d’assurance automobile à ses assurés pour suivre leur style de conduite et baisser leurs primes d’assurance, présente des dangers et pourrait être utilisé en vue de prendre les commandes de la voiture de l’utilisateur.

Progressive propose un dongle, baptisé Snapshot, qui peut être connecté au port de diagnostic OBD-II de la majorité des automobiles. Cory Thuen, chercheur en sécurité chez Digital Bond Labs, a expliqué, lors d’une conférence sur la sécurité des informations organisée la semaine dernière, comment il était possible d’attaquer ce dispositif pour s’en prendre aux réseaux embarqués de certains véhicules.

Ce dispositif, installé actuellement sur deux millions de voitures aux USA, surveille le style de conduite du client en vue de lui garantir la meilleure prime d’assurance. Cory Thuen a accepté l’offre d’essai gratuite de Progressive pour utiliser le dispositif.

Après s’être livré à un travail d’ingénierie inverse sur l’appareil et après l’avoir installé sur sa Toyota Tundra, Cory Thuen a découvert que le dongle était non seulement incapable de s’authentifier sur le réseau mobile, mais qu’il ne chiffrait pas non plus le trafic. De plus, le micrologiciel du dispositif n’est pas signé, n’est pas validé et ne possède pas de fonction de chargement sécurisé.

Et le dongle utilise le protocole FTP, vieux de plus de 30 ans et dont les lacunes en matière de sécurité sont bien connues.

Ce qui est encore plus inquiétant, c’est que le dispositif fonctionne sur CANbus, à savoir la norme utilisée pour l’échange de données entre la boîte de vitesses, les freins, les coussins de sécurité, le système de vitesse de croisière, la direction assistée, etc.š Cela signifie que le dispositif envoie des messages via CAN chaque fois qu’il a besoin d’une information déterminée sur les systèmes réseau du véhicule.

"Tous les dispositifs sur le BUS peuvent communiquer avec tous les dispositifs sur le BUS" a déclaré Cory Thuen à Kelly Jackson Higgins de Dark Reading.

Il estime que, en l’absence de chiffrement, si quelqu’un souhaite substituer la station de base, il est possible de réaliser une attaque de type "homme au milieu". Ou si les serveurs de Progressive sont compromis, les pirates pourront prendre les commandes de n’importe quelle voiture connectée.

Cory Thuen a présenté ses découvertes lors d’une table ronde sur les véhicules commandés à distance qui s’est tenue la semaine dernière dans le cadre de la conférence S4x15 organisée chaque année en janvier à Miami par Digital Bond, la société de Cory Thuen.

Bien que Cory Thuen insiste qu’il aurait pu aller plus loin pour donner du poids à ses découvertes, il a déclaré dans une entrevue accordée à Forbes.com qu’il n’avait pas beaucoup creusé dans les paramètres de son pick-up. Le chercheur affirme que s’il avait connecté son ordinateur portable directement à Snapshot, il aurait pu déverrouiller les portières, démarrer la voiture et récolter plus d’informations sur le moteur.

"Ce qui m’intéressait, ce n’était pas de prendre les commandes mais de démontrer qu’il était possible de prendre les commandes" a-t-il écrit dans un article.

Alors que Xirgo Technologies, la société qui produit ces dispositifs, n’a pas souhaité réagir à une demande d’informations, Progressive a envoyé la réponse suivante à Forbes : "La sécurité de nos client est l’élément le plus important en ce qui nous concerne. Nous sommes convaincus de la qualité du dispositif Snapshot qui a été utilisé sur plus de deux millions de véhicules depuis 2008. Nous sommes toujours attentifs à la sécurité de nos dispositifs afin de garantir la sécurité de nos clients.

Si une personne dispose de preuves concluantes sur une vulnérabilité potentielle de notre dispositif, il aurait été préférable qu’elle s’adresse à nous avant tout afin de nous permettre d’évaluer le problème et, le cas échéant, de le rectifier avant que cette vulnérabilité ne soit exploitée. Nous déplorons le fait que M. Thien n’a pas partagé ses découvertes avec nous en privé, mais nous sommes prêts à recevoir de sa part un communiqué confidentiel et détaillé afin de pouvoir évaluer ses déclarations comme il se doit."

Cory Thuen a indiqué à Forbes qu’il avait tenté de communiquer ses travaux à Xirgo, mais qu’il n’avait reçu aucune réponse.

Chris Valasek et Charlie Miller avaient déjà sonné l’alarme sur la possibilité d’attaques contre des véhicules il y a près d’un an. Ils avaient évoqué des lacunes en matière de sécurité dans des voitures des marques Ford et Toyota dans les pages de "Adventures in Automotive Networks and Control Units". En manipulant le bloc de commande électronique (ECU) de certains véhicules, Chris Valasek et Charlie Miller avaient réussi à commander la direction, les freins et d’autres systèmes. Ces démonstrations avaient fait sent que le pire est à venir, surtout dans le contexte de l’intégration rapide des navigateurs dans l’habitacle des voitures.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *