Infos

Des vulnérabilités dans le dongle de Progressive permettent d’attaquer les systèmes automobiles

Un dispositif, envoyé par une importante société d’assurance automobile à ses assurés pour suivre leur style de conduite et baisser leurs primes d’assurance, présente des dangers et pourrait être utilisé en vue de prendre les commandes de la voiture de l’utilisateur.

Progressive propose un dongle, baptisé Snapshot, qui peut être connecté au port de diagnostic OBD-II de la majorité des automobiles. Cory Thuen, chercheur en sécurité chez Digital Bond Labs, a expliqué, lors d’une conférence sur la sécurité des informations organisée la semaine dernière, comment il était possible d’attaquer ce dispositif pour s’en prendre aux réseaux embarqués de certains véhicules.

Ce dispositif, installé actuellement sur deux millions de voitures aux USA, surveille le style de conduite du client en vue de lui garantir la meilleure prime d’assurance. Cory Thuen a accepté l’offre d’essai gratuite de Progressive pour utiliser le dispositif.

Après s’être livré à un travail d’ingénierie inverse sur l’appareil et après l’avoir installé sur sa Toyota Tundra, Cory Thuen a découvert que le dongle était non seulement incapable de s’authentifier sur le réseau mobile, mais qu’il ne chiffrait pas non plus le trafic. De plus, le micrologiciel du dispositif n’est pas signé, n’est pas validé et ne possède pas de fonction de chargement sécurisé.

Et le dongle utilise le protocole FTP, vieux de plus de 30 ans et dont les lacunes en matière de sécurité sont bien connues.

Ce qui est encore plus inquiétant, c’est que le dispositif fonctionne sur CANbus, à savoir la norme utilisée pour l’échange de données entre la boîte de vitesses, les freins, les coussins de sécurité, le système de vitesse de croisière, la direction assistée, etc.š Cela signifie que le dispositif envoie des messages via CAN chaque fois qu’il a besoin d’une information déterminée sur les systèmes réseau du véhicule.

"Tous les dispositifs sur le BUS peuvent communiquer avec tous les dispositifs sur le BUS" a déclaré Cory Thuen à Kelly Jackson Higgins de Dark Reading.

Il estime que, en l’absence de chiffrement, si quelqu’un souhaite substituer la station de base, il est possible de réaliser une attaque de type "homme au milieu". Ou si les serveurs de Progressive sont compromis, les pirates pourront prendre les commandes de n’importe quelle voiture connectée.

Cory Thuen a présenté ses découvertes lors d’une table ronde sur les véhicules commandés à distance qui s’est tenue la semaine dernière dans le cadre de la conférence S4x15 organisée chaque année en janvier à Miami par Digital Bond, la société de Cory Thuen.

Bien que Cory Thuen insiste qu’il aurait pu aller plus loin pour donner du poids à ses découvertes, il a déclaré dans une entrevue accordée à Forbes.com qu’il n’avait pas beaucoup creusé dans les paramètres de son pick-up. Le chercheur affirme que s’il avait connecté son ordinateur portable directement à Snapshot, il aurait pu déverrouiller les portières, démarrer la voiture et récolter plus d’informations sur le moteur.

"Ce qui m’intéressait, ce n’était pas de prendre les commandes mais de démontrer qu’il était possible de prendre les commandes" a-t-il écrit dans un article.

Alors que Xirgo Technologies, la société qui produit ces dispositifs, n’a pas souhaité réagir à une demande d’informations, Progressive a envoyé la réponse suivante à Forbes : "La sécurité de nos client est l’élément le plus important en ce qui nous concerne. Nous sommes convaincus de la qualité du dispositif Snapshot qui a été utilisé sur plus de deux millions de véhicules depuis 2008. Nous sommes toujours attentifs à la sécurité de nos dispositifs afin de garantir la sécurité de nos clients.

Si une personne dispose de preuves concluantes sur une vulnérabilité potentielle de notre dispositif, il aurait été préférable qu’elle s’adresse à nous avant tout afin de nous permettre d’évaluer le problème et, le cas échéant, de le rectifier avant que cette vulnérabilité ne soit exploitée. Nous déplorons le fait que M. Thien n’a pas partagé ses découvertes avec nous en privé, mais nous sommes prêts à recevoir de sa part un communiqué confidentiel et détaillé afin de pouvoir évaluer ses déclarations comme il se doit."

Cory Thuen a indiqué à Forbes qu’il avait tenté de communiquer ses travaux à Xirgo, mais qu’il n’avait reçu aucune réponse.

Chris Valasek et Charlie Miller avaient déjà sonné l’alarme sur la possibilité d’attaques contre des véhicules il y a près d’un an. Ils avaient évoqué des lacunes en matière de sécurité dans des voitures des marques Ford et Toyota dans les pages de "Adventures in Automotive Networks and Control Units". En manipulant le bloc de commande électronique (ECU) de certains véhicules, Chris Valasek et Charlie Miller avaient réussi à commander la direction, les freins et d’autres systèmes. Ces démonstrations avaient fait sent que le pire est à venir, surtout dans le contexte de l’intégration rapide des navigateurs dans l’habitacle des voitures.

Source :        Threatpost

Des vulnérabilités dans le dongle de Progressive permettent d’attaquer les systèmes automobiles

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception