Des vulnérabilités de cybersécurité découvertes sur les véhicules Kia
Des chercheurs en cybersécurité véhicule Kia ont mis au jour plusieurs failles critiques touchant les voitures de la marque, permettant à des pirates informatiques de prendre le contrôle à distance. Ces attaques pourraient être réalisées en utilisant uniquement la plaque d’immatriculation du véhicule. Les vulnérabilités ont été signalées au constructeur, qui a depuis publié un correctif cet été.
Découverte de failles sur le site des propriétaires Kia
Une équipe de chercheurs, composée de Sam Curry, Neiko Rivera, Justin Rhinehart et Ian Carroll, a identifié ces vulnérabilités sur la plateforme en ligne dédiée aux propriétaires de véhicules Kia. Ces failles auraient permis aux hackers de démarrer, de déverrouiller et de suivre les voitures à distance en moins de 30 secondes, uniquement grâce à la plaque d’immatriculation.
Impact sur presque tous les modèles récents
D’après le rapport des chercheurs, “la quasi-totalité des véhicules Kia construits après 2013” est concernée, peu importe que leurs propriétaires aient un abonnement au service Kia Connect, qui relie la voiture à un smartphone pour offrir davantage de fonctionnalités.
Processus d’infiltration par les chercheurs
Pour accéder aux systèmes internes, les chercheurs ont créé un compte dans une infrastructure réservée aux concessionnaires (kiaconnect.kdealer.com). Une fois authentifiés, ils ont pu générer un jeton d’accès grâce à quelques requêtes HTTP et en appelant les API back-end du concessionnaire.
Accès aux données personnelles des propriétaires
Les chercheurs ont indiqué : “La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule.” Ils ont souligné qu’un utilisateur malveillant aurait pu modifier l’adresse e-mail du propriétaire légitime pour se faire passer pour lui, sans que ce dernier ne reçoive aucune notification de modification de ses données personnelles.
Exploitation potentielle par des cybercriminels
Avec un simple numéro d’identification du véhicule (VIN), les chercheurs ont démontré qu’il serait possible pour des cybercriminels de s’introduire dans le système pour exécuter des commandes critiques telles que le déverrouillage, le démarrage ou le suivi à distance de la voiture. Les vulnérabilités ont été découvertes le 11 juin et signalées à Kia, qui a publié un correctif à la mi-août. Le constructeur sud-coréen a confirmé que ces outils n’avaient pas été exploités par des hackers.
Un enjeu majeur pour la cybersécurité des véhicules connectés
Ces failles soulignent des enjeux de cybersécurité importants pour les voitures dotées de nombreux systèmes connectés. Les points d’entrée pour les hackers sont en hausse, souvent en raison d’une protection insuffisante des logiciels. En 2022, des chercheurs avaient déjà infiltré les systèmes d’une entreprise fournissant des services de géolocalisation automobile, illustrant ainsi la portée des risques associés à la connectivité des véhicules.