Des failles majeures dans le portail en ligne d’un grand constructeur automobile ont été mises en lumière, révélant des vulnérabilités pouvant exposer les données clients et permettre le contrôle à distance de certaines fonctions de véhicules de la marque. Ces failles menacent directement la confidentialité des automobilistes et la sécurité opérationnelle des voitures connectées en France.
Contexte et nature des vulnérabilités
Le chercheur en sécurité Eaton Zveare a découvert une série de vulnérabilités dans le portail de concession en ligne réservé aux concessionnaires agréés et au réseau de vente de la marque. Cette plateforme permet de commander des véhicules, de consulter le stock, d’accéder à des documents techniques et commerciaux, et de suivre les livraisons. Le chercheur refuse de nommer la marque, évoquant des raisons de sécurité, mais précise qu’il s’agit d’un constructeur automobile majeur avec de nombreuses sous-marques populaires.
Selon les explications fournies, ces failles pourraient offrir un « accès illimité » au portail de concession. Concrètement, un attaquant pourrait créer un compte administrateur sans en avoir le droit et, une fois à l’intérieur, consulter des données personnelles et financières des clients. La plateforme permet par ailleurs de suivre en temps réel les voitures en location et l’évolution des commandes.
Comment un pirate peut prendre le contrôle à distance d’un véhicule
Le scénario le plus inquiétant est la possibilité d’activer à distance des options connectées du véhicule, telles que le démarrage, le verrouillage des portes, le chauffage ou la localisation. Avec les informations issues du portail, l’attaquant peut associer une voiture à un compte d’application mobile et prendre le contrôle à distance du véhicule en installant l’application de la marque sur son smartphone. Lors des tests réalisés, le chercheur a même réussi à prendre le contrôle de la voiture d’un ami.
Le chercheur rappelle qu’un attaquant n’a pas nécessairement besoin de connaître les détails techniques du véhicule pour lancer l’attaque : il peut se servir du numéro d’identification unique (VIN) affiché sur le pare-brise, visible lors d’un passage en parking, pour effectuer une recherche sur le portail destiné aux concessionnaires et déterminer le nom du propriétaire. Les données stockées sur le portail peuvent ensuite être utilisées pour coupler la voiture à l’application et accéder, en quelques étapes, au contrôle du véhicule.
Limites techniques et risques réels
Bien que démarrer une voiture à distance nécessite normalement une clé physique, des voleurs pourraient exploiter la chaîne d’attaque pour pénétrer dans le véhicule et perpétrer des vols. Le court-circuit des mécanismes de sécurité via une faille dans le navigateur au moment de la connexion et l’accès à des systèmes d’authentification unique augmentent le risque d’exploitation. Le portail peut également servir de porte d’entrée vers les systèmes d’autres concessions, amplifiant ainsi l’impact potentiel sur la sécurité des véhicules connectés.
Selon le chercheur, ces vulnérabilités représentent « des cauchemars de sécurité qui ne demandent qu’à se produire ». Il souligne qu’une simple paire de failles peut suffire à prendre le contrôle d’un véhicule et à s’introduire dans son habitacle. Heureusement, le constructeur aurait été informé et aurait corrigé le problème au cours du mois de février, rendant l’exploitation plus difficile.
Contexte et précédents dans l’industrie
Des incidents similaires ont été observés par le passé dans d’autres portails de concessionnaires. En 2023, des failles analogues avaient été découvertes dans le portail des concessionnaires Kia, permettant de localiser, suivre et pirater des voitures fabriquées après 2013. Des vulnérabilités similaires avaient également été décelées dans les systèmes d’Acura, Genesis, Honda, Hyundai, Infiniti, et Toyota, démontrant que le point faible réside souvent dans les portails de concession mal sécurisés.