Une faille de sécurité dans le logiciel automobile de Subaru permet à des pirates d'accéder à tous les véhicules

À mesure que l'industrie automobile devient plus intelligente et plus connectée, le nombre de failles de sécurité augmente. Un nouveau rapport montre à quel point les voitures connectées peuvent être vulnérables.

Un chercheur en sécurité du nom de Sam Curry a récemment publié un billet de blog expliquant comment lui et un collègue (Shubham Shah) ont réussi à compromettre le système logiciel Starlink utilisé par les voitures Subaru. Starlink alimente le centre d'infodivertissement des véhicules Subaru et permet aux utilisateurs de contrôler à distance leurs voitures enregistrées, ce qui peut inclure le verrouillage/déverrouillage et le démarrage à distance du véhicule.

Curry a expliqué qu'un exploit dans la page de connexion des employés de Subaru pour le système Starlink lui a permis d'identifier l'adresse électronique d'un employé valide, de changer le mot de passe de l'employé et de contourner tout type d'authentification à deux facteurs pour se connecter.

Une fois dans le système Starlink, Curry s'est rendu compte qu'il pouvait localiser n'importe quel véhicule Subaru enregistré à partir de l'un des éléments suivants : le nom du client, son numéro de téléphone, son adresse électronique ou le numéro d'identification du véhicule (NIV). (Notez que les NIV peuvent facilement être trouvés à partir d'une plaque d'immatriculation.) Une fois la voiture trouvée, toutes ces informations étaient prêtes à être exploitées. Parmi les autres informations disponibles, citons les données de facturation, les contacts en cas d'urgence, etc.

Non seulement ces données personnelles étaient facilement accessibles, mais l'historique de la localisation du véhicule au cours de l'année écoulée était également disponible et, selon M. Curry, facile à télécharger et à tracer. Ces données de localisation comprenaient un horodatage, l'odomètre du véhicule et les coordonnées GPS (avec une précision d'environ 15 pieds ou 5 mètres).

Plus inquiétant encore, M. Curry a pu trouver la voiture d'un ami dans la base de données et y ajouter ses références personnelles en tant qu'utilisateur autorisé de Starlink. Une fois qu'il a été ajouté, il peut contrôler la voiture à distance. Il a ainsi pu verrouiller et déverrouiller la voiture, la démarrer à distance et déterminer sa position. L'utilisateur Starlink concerné n'a reçu aucune notification l'informant qu'un autre utilisateur avait été ajouté au compte Starlink de la voiture.

Subaru semble avoir depuis corrigé la vulnérabilité, découverte par Curry en novembre 2024. Le constructeur automobile a publié un correctif dans les 24 heures suivant la réception du rapport de M. Curry, ce qui est tout à son honneur. Le message de M. Curry nous rappelle que, même si nos voitures sont intelligentes, elles peuvent être très vulnérables aux voleurs et autres acteurs malveillants.

Achetez un traceur CARLOCK 4G OBD sur Amazon.