Mercedes, Ferrari, BMW : des pirates démarrent des voitures de luxe à distance

Plusieurs constructeurs automobiles de renom ont dû corriger des failles de sécurité majeures. Ces dernières permettaient aux pirates d’intercepter des informations personnelles, de déverrouiller les voitures à distance et même de les démarrer. BMW, Roll Royce, Mercedes-Benz, Ferrari ou encore Porsche font partie des marques touchées.

mercedes
Mercedes-Benz fait partie des constructeurs touchés par les vulnérabilités © Mercedes-Benz

Il y a quelques semaines, le hacker éthique Sam Curry avait signalé l’existence d’une faille dans les véhicules Honda, Acura, Nissan, Infiniti. Une vulnérabilité de la plateforme télématique SiriusXM permettait aux pirates d’accéder aux véhicules connectés et d’en prendre les commandes à distance. Il s’avère finalement que de nombreuses autres marques étaient exposées à de failles de sécurité majeures.

Certaines ont été trouvées chez Mercedes, Ferrari, Porsche, Jaguar et d’autres constructeurs de renom. Elles auraient pu permettre à des individus malveillants de dérober les informations personnelles des propriétaires, de suivre leurs véhicules mais aussi de déverrouiller et de démarrer les voitures à distance. Tous les constructeurs et fournisseurs de services concernés ont été mis au parfum et ont depuis déployé des correctifs.

À lire > Tesla : une vulnérabilité du Bluetooth permet de les ouvrir et de les démarrer à distance

Des failles épineuses sur une myriade de voitures de luxe

Dans le détail, BMW et Mercedes-Benz disposaient d’une fonction d’authentification unique défectueuse qui permettait aux pirates d’accéder aux systèmes internes. Ils avaient alors accès aux instances GitHub, aux discussions privées, aux serveurs ou encore aux instances AWS. Du côté de BMW, les attaquants potentiels auraient pu accéder aux portails internes des concessionnaires, aux numéros d’identification des véhicules et aux documents de vente, lesquels pouvant contenir des détails sensibles sur le propriétaire (l’adresse notamment).

Chez Ferrari, la faille SSO permettait aux pirates d’accéder, de modifier ou de supprimer n’importe quel compte client Ferrari. Un pirate aurait même pu se définir comme le propriétaire de la voiture. Chez Porsche, les failles des systèmes télématiques permettaient de localiser l’emplacement exact des voitures et même d’envoyer des commandes.

Le service GPS Spireon, utilisé par 15,5 millions de véhicules, comportait également une faille. Celle-ci donnait la possibilité à des pirates de déverrouiller les voitures et de démarrer le moteur. En explorant d’autres failles de l’API, les hackers éthiques ont enfin pu accéder aux informations personnelles des propriétaires de voitures KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche et Toyota.