Les logiciels embarqués de certains modèles de Kia présenteraient des failles qui pourraient permettre à des hackers de déverrouiller, démarrer et même suivre un véhicule à distance. Ces vulnérabilités ont été découvertes par une équipe de chercheurs en cybersécurité. Leur analyse souligne que les véhicules concernés sont ceux fabriqués après 2013, qu’ils soient ou non équipés de l’abonnement Kia Connect, un service qui permet de connecter la voiture à un smartphone pour accéder à plusieurs fonctionnalités.
La situation est critique, car manipuler le véhicule serait possible en moins de 30 secondes, en se servant seulement de… la plaque d’immatriculation ! Les pirates n’ont donc pas besoin d’être en contact physique avec la voiture. Grâce à des failles dans l’infrastructure réservée théoriquement aux concessionnaires, les chercheurs ont montré que les systèmes de gestion internes des véhicules pouvaient être compromis.
Le réseau de concessionnaires en cause
Pour identifier ces failles, les chercheurs se sont inscrits sur un site réservé aux concessionnaires de Kia. Après avoir réussi à s’authentifier sur cette plate-forme, ils ont pu générer des jetons d’accès, une méthode relativement simple qui leur a permis techniquement d’accéder aux API du système Kia. Cette étape leur a ouvert la porte vers des informations sensibles telles que le nom, le numéro de téléphone et l’adresse e-mail des propriétaires de véhicules. La totale !
Publicité – continuez à lire ci-dessous
Les pirates auraient pu modifier les données d’accès en se faisant passer pour les propriétaires. Et le propriétaire n’en aurait pas été informé. Selon les « gentils » hackers, l’attaque aurait pu encore aller encore plus loin : en accédant au numéro d’identification du véhicule (VIN), un hacker serait parfaitement en mesure d’exécuter des commandes, comme le déverrouillage, le démarrage ou le suivi de la voiture. Autant de données personnelles qui peuvent ouvrir la voie à un chantage financier.
Des correctifs exécutés
Ces failles ont été découvertes le 11 juin dernier et elles auraient rapidement été signalées à Kia. Le constructeur aurait réagi en publiant un correctif au mois d’août, affirmant que les vulnérabilités n’avaient pas été exploitées par des pirates. Mais tout ceci ne fait que confirmer les dangers croissants auxquels sont confrontées les voitures connectées. Les constructeurs doivent donc investir davantage encore dans la sécurité logicielle dse leurs véhicules. Mais qu’en est-il en Belgique ? Nous avons interrogé Kia et Luca Pavone, porte-parole de Kia, se veut rassurant, indiquant qu’en Europe, le Kia Connect ne doit pas être lié à la plaque de la voiture, ce qui met à l’abri de ce genre d’incursion. Les clients Belges n’ont donc rien à craindre. Ouf !
Pas inédit
Ce n’est évidemment pas la première fois que les vulnérabilités des automobiles sont mises en lumière. En 2022, la même équipe avait déjà démontré qu’il était possible d’accéder aux données de géolocalisation des automobiles. Cela leur avait permis de prendre le contrôle potentiellement de 15,5 millions de véhicules, y compris des véhicules d’urgence. Mais la réalité est là : l’augmentation des systèmes connectés dans les véhicules entraîne un accroissement du nombre de points d’entrée potentiels pour les hackers. Et cela nécessite des mesures strictes en matière de cybersécurité.
À la recherche d'une voiture ? Cherchez, trouvez et achetez le meilleur modèle sur Gocar.be