Deux systèmes d'alarme intelligents pour les voitures ont comblé des failles de sécurité critiques qui mettent trois millions de voitures intelligentes dans le monde en danger d'être détournés, selon une étude réalisée par Pen Test Partners.

Si elles avaient été exploitées, les vulnérabilités auraient permis à n'importe qui de désactiver l'alarme, de suivre et de déverrouiller la voiture qui en est équipée. Dans certains cas, les chercheurs ont également été en mesure d'espionner les conversations tenues dans la voiture au moyen d'un microphone intégré à l'un de ces systèmes d'alarme intelligents, et même de démarrer le moteur de la voiture ou de la couper pendant que la voiture roule.

Les failles concernaient les systèmes d'alarme qui permettent de contrôler les voitures connectées via des applications Smartphone associées et qui sont fabriqués par deux sociétés - Pandora, de Russie, et Viper, basée aux États-Unis (et commercialisée sous la marque Clifford au Royaume-Uni). Le premier avait même vanté ses produits comme étant « inviolables », selon Pen Test Partners.

Facile à déceler, facile à corriger

Les chercheurs ont constaté que les API (interfaces de programmation d'applications) des deux applications n'ont pas réussi à authentifier correctement certaines demandes, notamment les demandes de changement de mot de passe ou d'adresse électronique. Ceci ouvre la voie à une prise en charge complète des comptes.

« Il suffit de modifier les paramètres pour mettre à jour l'adresse de courrier électronique enregistrée sur le compte sans authentification, envoyer un mot de passe réinitialisé à l'adresse modifiée (c'est-à-dire celle de l'attaquant) et prendre le contrôle du compte, » souligne Pen Test Partners. En ayant le contrôle du compte, les pirates éthiques ont également été en mesure de prendre le contrôle de la voiture liée au compte.

De plus, bien que les chercheurs aient acheté les systèmes d'alarme intelligents pour « une preuve de concept complète », ils ont conclu que n'importe qui pouvait simplement créer un compte test pour compromettre un compte existant. « Les deux produits permettent à quiconque de créer un compte de test(mode démo). Avec ce compte de démonstration, il est possible d'accéder à n'importe quel compte authentique et d'en récupérer les détails », affirme Pen Test Partners, qui a qualifié les failles de « faciles à repérer, faciles à corriger. »

À leur décharge, les deux entreprises ont reconnu les bogues et les ont corrigés dans les jours qui ont suivi la réception des alertes de la part des hackers éthiques.