L’entreprise française Mobile Devices mise en cause
MAJ. Depuis la parution de notre article, la société française Mobile Devices nous a contactés afin de nous donner plus d’informations sur la révélation de cette faille de sécurité (voir en fin d’article).
Début août, la Black Hat Conference réunissait à Las Vegas les pontes de la sécurité sur Internet autour de sujets aussi variés que « Comment pirater un fusil à distance ? » ou encore « Comment pirater une Jeep Cherokee à distance ? » et autres assertions autour de la vulnérabilité des objets connectés. Le 11 août, à l’Usenix Conference cette fois (un séminaire associatif d’ingénieurs, d’administrateurs systèmes, scientifiques et techniciens informatiques), a eu lieu une démonstration menée par Karl Koscher et Ian Foster, deux chercheurs en sécurité. L’objet de leur expérimentation : un dongle OBD, l’OBD2 de Mobile Devices, un accessoire destiné à obtenir des informations sur sa voiture vers son smartphone grâce à une application. On peut ainsi recueillir des données sur le niveau d’essence, l’état de la batterie, un mapping GPS de ses trajets entre autres informations.
Cette fois, les chercheurs, à l’instar de Charlie Miller et Chris Valasek qui étaient parvenus à piloter à distance une Jeep Cherokee, mais sans intervention d’accessoire connecté, ont utilisé cet accessoire conçu par la société française Mobile Devices pour pirater une Corvette. Mobile Devices conçoit des accessoires pour la voiture et est distribuée à San Francisco par Metromile. Cette entreprise propose des tarifications d’assurances pour véhicules en fonction de la consommation kilométrique. Metromile équipe notamment les flottes de véhicules des conducteurs d’Uber aux États-Unis avec cet accessoire afin d’obtenir des données en temps réel sur chacune des voitures en circulation. Voici une démonstration de ce qu’il est possible de faire pour un pirate après avoir pluggé un dongle OBD2 de la société Mobile Devices sur le tableau de bord d’une Corvette :
Comment hacker les essuie-glace et les freins d’une Corvette en quelques minutes ?
Comment les chercheurs ont-ils procédé ? Après avoir acheté un OBD2 chez Mobile Devices (disponible à l’unité pour 149 dollars), ils ont pluggé le système au tableau de bord et ont ainsi pu piloter le réseau interne de la voiture après avoir envoyé des SMS via l’application. Ceci leur a permis notamment de piloter les essuie-glace et les freins.
« Nous avons acheté l’un de ces trucs, nous avons détourné son usage, et dans le même temps trouvé que cet appareil était truffé de failles de sécurité« , précise Stefan Savage, un enseignant en sécurité à l’Université de Californie de San Diego, à l’origine du projet. Selon lui, l’accessoire de Mobile Devices permet de commander à distance à peu près tout ce qui est connecté dans un véhicule.
Des milliers de véhicules concernés
Lorsque les chercheurs en sécurité ont procédé à leur attaque sur une Corvette 2013, ils ont remarqué qu’ils auraient pu adapter leur attaque à tout type de véhicule moderne et qu’ils auraient pu ne pas se limiter aux freins et aux essuie-glace, mais également aux loquets de portière, au volant et autres organes vitaux de la voiture. Des milliers de véhicules sont concernés, et pas seulement des Corvette, par l’implantation de ce système, notamment des flottes de véhicules Uber, aux États-Unis. Alertée en juin par les chercheurs, la société Metromile a fourni une mise à jour de sécurité conçue par Mobile Devices. Mais les chercheurs ont remarqué que d’autres flottes de véhicules dans le monde pourraient être affectées par cette problématique, et notamment en Espagne, avec Coordina, une boîte de localisation GPS de flottes de véhicules. D’autres entreprises utilisant ce système vont devoir procéder à des mises à jour et correctifs pour éviter d’être inquiétées dans ce genre d’affaires. Mais pour les chercheurs, le meilleur moyen d’éviter ce type de piratage, c’est encore de ne pas plugger d’accessoire vulnérable sur son véhicule.
Aux États-Unis, le problème pourrait s’étendre vers le grand public, tandis que la Maison Blanche a encouragé en mars les agences fédérales possédant des flottes de plus de vingt véhicules à équiper leurs voitures de ces systèmes de télématique dès que possible, pour améliorer les performances des engins. Ainsi, plusieurs milliers de véhicules d’État pourraient posséder ce type de système dans le futur. De quoi régaler les pirates et donner du grain à moudre aux chercheurs en sécurité pour mettre à jour régulièrement la sécurité de ces véhicules.
Droit de réponse de la société française Mobile Devices
Contactée par téléphone, la société française Mobile Devices a éclairé notre lanterne au sujet de cette faille révélée par le magazine WIRED. C’est le PDG de la société basée à Villejuif historiquement, mais dont les produits sont distribués aux États-Unis, Aaron Solomon, qui nous a contactés. « De manière générale, le dongle peut être utilisé avec un mode développeur. On peut faire énormément de choses avec, notamment envoyer des SMS, le modifier… il y a un mode programmeur-développeur qui est rempli de failles de sécurité voire qui possède une appli buguée. Ce type de produits est spécifiquement dédié aux tests. Pour les autres, nous fournissons le produit avec un mécanisme sécurisé, pour nos clients intégrateurs. Certains de nos clients passent progressivement du mode test au mode classique, lorsqu’ils équipent leurs flottes de véhicules, mais ça n’est pas toujours fait correctement. Le seuil de sécurisation est à fixer par eux. On a à présent compris que c’était important que nous le traitions en amont. Nous sommes en train de définir des règles de sécurité en ce moment. Nous nous donnons dix jours pour identifier les flottes de véhicules équipées et intervenir. »
Aaron Solomon, PDG de Mobile Devices précise que lorsque le patch de sécurité sera en place, il s’activera dès le redémarrage, et si le redémarrage n’est pas effectué dans les 24 heures, celui-ci sera forcé. Depuis 2010, Mobile Devices commercialise environ 10 000 pièces de dongles OBD par an. Depuis 2013, l’activité s’est intensifiée avec des ventes équivalentes réalisées chaque mois. 100 000 dongles OBD ont été vendus cette année déjà. Aaron Solomon évoque la démocratisation d’un système de diagnostic pour la pollution, la température du véhicule ou autres données qui devient de plus en plus simple à équiper et offre des perspectives phénoménales telles que le contrôle technique à distance ou autres actions sur le véhicule qui seront à terme très utiles pour le consommateur. À condition d’être sécurisé, bien entendu. Jusqu’à présent, cet outil était essentiellement du ressort des garagistes. La simplification des systèmes devra donc s’accompagner de sécurités bien pensées et adaptatives.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Je parlais pas de cette photo mais celle sur l'accueil...
Tu n'es pas censé avoir un boitier électronique branché au port OBD de ta voiture dans le cadre d'une utilisation classique.
Euh... c'est inscrit corvette en toutes lettres derrière celle-ci...
Faire installer un prise OBD est tout aussi suspect et il ne faudra pas non plus longtemps pour retrouver l'origine. Et non, sachant que des milliers de voitures, dont des voitures gouvernementale, en sont équipé, c'est plutôt un hack puissant et dangereux!
Le port OBD est un port de communication relié au réseau de communication de la voiture, un peu comme un port ethernet. Il n'y a pas intelligence dans ce port. La sécurisation est du coté des différents boitiers électroniques avec lequel communique l'élément branché sur le port OBD.
Dans le cas présent le dongle odb était dans la voiture installé par le propriétaire qui voulait rendre sa voiture connecté. En gros cet exploit permet de hacker les 100enne de milliers de voitures équipé de ce dongle. Bref le hacker n'a pas eu besoin de forcer la portière.
(Puis payer pour trafiquer les freins ou autre, pour une voiture qui sort du garage, c'est suspect et on va tout de suite savoir de qui/d'où ça vient haha. Ça sera pas bien dur de remonter au commendataire après.)
Donc on est d'accord que c'est un hack de merde, complètement inintéressant et qui soulève un faux-problème. A part faire flipper les gens bêtement, je ne vois pas..
En même temps tu peux le payer pour trafiquer les freins ou installé n'importe quel autre système de prise de contrôle a distance..
Fallait bien avoir déjà accès à la voiture et à la prise pour poser le module pourtant.. N'importe qui peut le faire. Je paye le premier gus au Speedy du coin pour qu'il le pose sur la Micra de ma voisine casse burnes. J'aurais plus qu'à la "hacker" le lendemain.
Enfin bref, je ne t'apprends rien hein. Ni à la majorité silencieuse de ce site. J'avais juste besoin de vider mon sac. Je me sens mieux, apaisé. Merci ♥ ;)
Je me suis peut être un peu emballé sur mon comm. Mais cette mode me dépasse. On est d'accord sur la nuance entre le hack via OBD et le hack du module en lui-même. Sauf que le lecteur, n'importe qui peut le faire à la maison avec des composants sur RS et un peu de wrapping.. N'importe quel module OBD doit être "facile" à détourner de son usage pour pouvoir y injecter des trames dans le bus CAN. Et le module, c'est pas Corvette qui l'a installé.. Il y a quand même eu une intrusion physique après la fabrication du véhicule qui n'est pas du ressort du constructeur auto. Donc que ça soit ce lecteur ou un autre, ça ne change rien au final. Et je pars du principe que ça devrait être interdit (par les constructeurs auto et assurance) de poser un module OBD par un tiers non reconnu, dans le but d'une utilisation commerciale, sachant la simplicité d'accès du bus CAN derrière.. C'est peut être (certainement) déjà le cas dans les petites lignes.. Dans ce cas précis, le bâton était déjà bien tendu pour se faire battre. Trop facile.. Tout véhicule avec prise OBD est "hackable" dans ce cas. Pourtant on va tous faire notre révision sans se dire si des petits malin du garage on poser un module sur la prise et il n'y a jamais eu de problème depuis l'apparition de cette prise il y a bientôt 20 ans dans le cadre d'une utilisation de ce type. Pourquoi faire déjà ? Ca n'intéresse pas ou très peu de personnes, car trop complexe et aucun retour financier sur le fait de planter une bagnole dans le fossé et la rendre inutilisable. Contrairement aux codes de démarrage des autos pour pouvoir les voler et les utiliser justement (mais ça encore, c'est pas nouveau comme pratique...).
Sur la photo c'est une Audi..... pas une corvette... <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Welcome to the danger zone ! ;)
Oh le bel HTC One M7 en GPE !
Ce n'est pas la prise en elle-même qui est piratée, c'est le module fourni par l'assureur, et qui permet un contrôle à distance.
Ah oui désole j'ai oublier le "Selo moi" a la fin
Chevreau laid ---> Intérieur laid.
Exactement ce que je pense, c'est comme si on arrive à appuyer sur la pédale de frein depuis l'habitacle... ou a hacker un PC en branchant un nouveaux disque dur interne...
Révolution ! On peut piloter une voiture à travers son port OBD permettant ainsi de modifier le bus CAN (non protégé) de la voiture ! ILS SONT FORT CES HACKERS ! Mais bon, c'est à la mode de dire qu'on a réussi à "pirater" une voiture en accédant à la prise diag du véhicule.. Qu'ils réessaient de le faire sans à avoir à intervenir sur le véhicule.... comme pour la Jeep Cherokee.
Elle est quand même bandante cette caisse !
Oui ces prises doivent remplir un certain nombre de fonction de base (lois européenne, américaine, ...) pour permettre de lire les infos sans avoir besoin d'un outils spécifique à chaque marque. Mais il n'a jamais était question d'une quelconque sécurisation de ces prises. Ni de limite quand au possibilité offerte. Chaque constructeur est libre de décidé de ce dont il est possible de faire avec celle-ci, celle-ci étant dans l'habitacle, ce n'est pas un problème normalement. Il faut s'en prendre aux assurance qui compromette la sécurité de celle-ci en y installant des prises connecté!
Ok, c'est plutôt dangereux alors car certaines assurances proposent d'équiper sa voiture d'un dongle OBD (surement Wifi) pour "adapter vos dépenses à votre mode de conduite". Plus tous les dongles en circulation pour usage personnel, il va y avoir de plus en plus de véhicules potentiellement exploitable par cette faille.
Oui le port OBD c'est un accès direct au système de communication du véhicule, tout les élément de la voiture communique entre eux et peuvent être contrôlé depuis un port OBD. Le problème n'est a mon avis pas que l'on puisse contrôler la voiture depuis le port OBD mais plutôt que la prise OBD connecté se laisse pirater pour permettre un tel contrôle.
Pas du tout, cela peut même servir à reflasher un module quelconque (un airbag, capteur de pression, ...) ou encore à changer des paramètre divers...
je ne comprend pas :/ le port ODB sert a lire et aussi a reseter des messages d'erreurs par contre que l'on puisse controler sa voiture par ce port est une erreur monumentale.... alors OUI il faut en premier installer un lecteur ODB, lecteur qui est souvent bluetooth voir wifi... heureusement par contre qu'il n'y a pas de lecteur ODB 3G ^^ car si cette faille est avéré, le risque reste moindre.. 1: comme dit il faut une voiture avec un lecteur branché sur la prise ODB 2: meme si le lecteur est en wifi... la porté sera de 100m au mieux et le workaround est tout simple : debranché le lecteur ^^
Tout le monde peut lire les info sur le port OBD. De tout ce que j'ai lu sur ce port, il permet seulement la lecture d'info (temps réel et/ou historique). Mais il pourrait très bien être le point d'entrée d'une faille. Il suffit que les échanges ne soient pas bien étanches entre ce qui peut être lu et ce qui peut être contrôlé.
Le port ODB sert principalement aux garagistes pour brancher la fameuse valise de diag...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix