Archives par mot-clé : voiture

Comment appréhender la sécurité des objets connectés

On se rappelle quand 2015, c’est près de 1,4 million de véhicule de la marque Jeep qui ont été retiré du marché.

La cause était dû à la découverte d’une faille de sécurité qui aurait pu permettre à des pirates informatiques de prendre le contrôle du véhicule à distance et c’est que le système de freinage et de direction.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Durant l’année 2020, NCC Group a effectué étude approfondie portant sur des modèles de sonnette sans fil, des objets connectés produit par la filiale d’Amazon Ring, Vivint et Remo. L’étude a permis de mettre en évidence plusieurs failles de sécurité qui pourrait permettre à des cybercriminels de pouvoir infiltré le réseau de la maison et d’espionner les habitants du domicile ciblés. La conséquence de cette découverte a été plusieurs dépôts de plainte contre le géant américain Amazon, pour manque de protection contre le piratage informatique.

Pourtant, le marché des objets connectés croît de plus en plus. Que ce soit dans les services habituels, dans les hôpitaux ou dans les administrations publiques, il n’est pas rare de trouver un objet dans l’utilisation lèvres purement de l’Internet des objets. Presque tout devient connecté dans notre quotidien et cela est une réalité bien évidente.

L’ensemble des objets connectés constituent un groupe appelé « internet des objets », IoT en pour « Internet of Things ». S’ils continuent d’exploser dans les habitudes de consommation des individus, le pirate informatique le considère aujourd’hui littéralement comme un air de jeux. Selon une analyse récente, entre 2015 et 2018, 20 % d’organisation en été touchée par une attaque informatique impliquant des dispositifs objets connectés. Il devient clair que la protection des objets connectés est clairement une nécessité. Les organisations et les entreprises le savent.

« Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système. Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet. », explique Émilie Bout Doctorante, à l’Inria et Valeria Loscri, Chercheur associé, à l’Inria.

En 2016, le célèbre en botnet Mirai à exploiter cette faille de sécurité. En effet les pirates informatiques derrière sur réseau de zombies ont utilisé un ensemble de dispositifs IoT vulnérables par usage des identifiants et le mot de passe par défaut. L’attaque a été à grande échelle touchant de plein fouet plusieurs entreprises impliquée dans le trafic Web tel que Dyn et OVH ainsi que Airbnb et Twitter.

« Cette faille a aussi permis à des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium. Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »). L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront. », expliquent nos chercheuses.

Grâce à cette méthode plusieurs dysfonctionnements a été découvertes. Cela avant que les conséquences irrémédiables ne soient observées. C’est d’ailleurs le cas du modèle vulnérable de la jeep Cherokee abordé plus haut. Cela a aussi permis de pouvoir retirer du marché près de 500 000 pacemakers en Ventes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Tesla : il est possible de voler la voiture électrique par un simple piratage

En quelques minutes il serait possible de pirater une clé Tesla.

C’est ce qui a été découvert par des spécialistes en sécurité informatique mettant à nu, une vulnérabilité à ne pas négliger. L’entreprise de Elon Musk a signifié pour autant avoir corriger cette faille de sécurité.

Comme la majorité des objets connectés à internet, c’est leur sensibilité à être sujet de cyberattaque. Il suffit d’un peu pour prendre d’assaut le système informatique de ces voitures connectées. Avec un peu de créativité et de maîtrise, un pirate informatique peut alors réussi le pari de voler une Tesla en quelques minutes.

Cet article va aussi vous intéresser : Tesla, déjà ciblé par une attaque au rançongiciel

C’est ce qui est démontré ici par la Tesla model x. L’exploit est le fait d’un spécialiste de la sécurité informatique en sécurité informatique belge du nom de Lennert Wouters. Un doctorant dans le groupe Sécurité informatique et cryptographie industrielle (COSIC) de l’Université de Louvain en Belgique. Il a réussi à prouver de manière pratique qu’il est possible d’accéder à une voiture et même de la voler en seulement quelques minutes. Averti à temps pour la vulnérabilité, la société du modèle incriminé a alors produit un correctif de sécurité et l’a distribué aussitôt. Un problème résolu mais il faudra la discipline des détenteurs de ce modèle pour ce qui concerne en les mises à jour.

Mais il faut préciser que tout les piratages de voitures n’ont pas les mêmes impacts. Le chercheur belge a réussi à démontrer qu’il est possible de détourner et voler une personne de Model X, cela ne veut pas dire qu’il en est de même pour tous les types de voiture du même modèle. Cependant, il faut préciser que l’expert n’est pas en sa première tentative. Déjà en 2018 et en 2019 il réussissait d’autres exploits portant sur des voitures électriques avec succès. De quoi a donné de la crédibilité à sa nouvelle découverte.

L’exploit consiste précisément à compromettre la clé de sécurité de la Tesla. Le processus implique de profiter d’une erreur de programmation du firmware des clés de la model X de Tesla. Mais avant cela il faut se procurer auparavant une unité de commande électrique d’un ancien modèle X, chose en qui est facile à se procurer sur des sites de commerce en ligne tel que eBay. En disposition de ce matériel, le pirate informatique peut alors tromper la clé en lui faisant croire que l’unité de commande électrique et ben elle est bien celle de la Tesla avec laquelle elle communique. Pour réussi ce coup de maître, le cyber attaquant doit être proche de la voiture à une distance d’au moins 5 mètres de sorte à permettre que l’unité de commande puisse à détecter la clé. Ensuite il envoie une mise à jour du firmware à la clé.

Tous ces processus ne prennent que 90 secondes. Soit moins de 2 minutes. Une fois cette étape réalisée, Le pirate peut alors récolter les codes de déverrouillage de la clé. Une fois les codes de déverrouillage collectés, il peut déverrouiller le véhicule et y entrer comme si c’était le sien. Grâce à l’unité de commande, il se branche au connecteur de diagnostic, dont se sert généralement les mécaniciens pour réparer le véhicule. Une fois connecté, il pleut alors substituer sa clé à celle de véhicule pour la démarrer. En seulement 5 minutes maximum avec une bonne préparation en amont.

Le matériel nécessaire pour réussir cet exploit coûte dans les 200 € seulement. Selon le chercheur le seul inconvénient dans ce processus est la taille de l’équipement à utiliser, quand bien même qu’il sera relativement facile de le cacher dans un sac à dos. L’expérience a été réalisé dans une vidéo pour montrer le processus.

Depuis le mois d’août la société de construction les voitures intelligentes est au courant de cette faille de sécurité. Elle a donc eu le temps de produire un correctif de sécurité et la distribué à ses clients. Le correctif de sécurité corrige la faille est le numéro « 2020.48» et il arrive via OTA.

Il faut signifier que Tesla, comme d’autres entreprises technologiques, récompense les chercheurs en sécurité informatique, qui trouvent des failles de sécurité sur les modèles fournis par l’entreprise permettant ainsi de le corriger avant qu’elles ne puissent être exploitées par des pirates informatiques.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Et si nos boitiers GPS devenaient des canaux par lesquels nos voitures sont menacées ?

On sait que la majeure partie d’entre nous a tendance à utiliser comme mot de passe le classique la fameuse 1 2 3 4 5.

Cette pratique pour la sécurité des boîtiers GPS tend à devenir de plus en plus un danger qui a été découvert par la société cybersécurité Avast. En effet plusieurs failles de sécurité ont été découvertes sur des boîtiers servant d’outils GPS. Des failles qui permettaient la prise de contrôle non seulement du système d’orientation mais aussi peut-être du véhicule.

Cet article va aussi vous intéresser : Une faille de sécurité sur Windows affecte 800 millions d’ordinateurs

On a coutume à voir que le mot de passe simplement conçu est le plus souvent la source de piratage de nos boîtes électroniques ou encore de compte en ligne. Cependant ce n’est pas simplement ces derniers qui sont les cibles des attaques informatiques dorénavant. Le boîtier GPS que nous avons dans nos voitures, font parties du lot.

Selon Avast, la société spécialisée dans la sécurité informatique, plus de 600 milles appareils sont concernés par un défaut de sécurité. N’importe quel pirate peut ainsi profiter de la défaillance des utilisateurs de ces boîtiers pour prendre le contrôle de ses outils et faire plus que nous envisageons. En effet, en accédant au boîtier GPS, les pirates peuvent avoir accès à la géolocalisation des véhicules et aussi certaines données relatives aux trajets effectués par ces véhicules. Le risque est donc grand.il est question ici de vie privée et de sécurité des personnes utilisant ces outils.

La faille qui permettrait aux pirates accéder au boîtier GPS de véhicule a été aperçu sur plusieurs boitiers GPS, tous du même constructeur mais vendu à différents modèles sous d’autres marques. La société de sécurité a ajouté que suite au piratage du boîtier, les pirates informatiques ont été en mesure d’obtenir le numéro de téléphone de leurs victimes. Le fabricant a été averti de la faille de sécurité détectée dans les boîtiers de sa fabrication. il n’a pas souhaité faire de commentaire à ce sujet. Par ailleurs il se pourrait que les utilisateurs de ces appareils électroniques ne soient même pas au courant du risque qu’ils encourent en utilisant ces boîtiers de manière imprudente. Mais selon Avast le plus grand problème lié à cette vulnérabilité des boîtiers, est qu’il est possible pour le pirate d’avoir une influence quelconque sur la conduite du véhicule. En effet il se peut que ce dernier puisse allumer ou éteindre le véhicule une fois qu’il a réussi à accéder au système. Plus il y a des objets connectées dans la voiture, plus le risque de l’extension de piratage est possible.

Apparemment, plus de 27000 véhicules ont déjà été compromis par une intrusion dans le système des véhicules via la faille de sécurité. L’auteur de cet exploit est un hacker reconnu sur le pseudonyme de L&M. Il a réussi à prendre le contrôle de centaines de véhicule dans certains pays tels que le Maroc, l’Afrique du Sud, ou encore les îles Philippines. Cette fois-ci cela concernait des systèmes GPS liés à deux entreprises différentes. Grâce à cet exploit, le hacker a réussi à récolter des millions de données personnelles, comportant des noms, des noms d’utilisateur, des numéros de téléphone et peut-être des adresses dans certains cas. Comme pour se vanter de ses mérites le hacker affirme : « Je peux absolument créer de gros problèmes de circulation partout dans le monde. J’ai le contrôle de centaines de milliers de véhicules, et d’un geste je peux arrêter leurs moteurs. ». Il ajoutera par la suite : « Ma cible était l’entreprise, pas les clients. Les clients sont exposés à cause de l’entreprise. Elles ont besoin de faire de l’, et ne veulent pas sécuriser leurs clients. »

De leur côté, les structures concernées par la production et la gestion des boîtiers GPS nient totalement une quelconque intrusion dans leur système.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage