Posté le juillet 14, 2022 à 7:24

UNE VULNÉRABILITÉ DU PORTE-CLÉS HONDA PEUT PERMETTRE À DES HACKERS D’ACCÉDER AU SYSTÈME DE DÉMARRAGE DES VÉHICULES

Des chercheurs en sécurité ont découvert une importante vulnérabilité qui permet à des hackers de déverrouiller et de démarrer des voitures à distance. Les hackers ont fait la démonstration de l’attaque par rediffusion radio en utilisant un faux porte-clés Honda. Honda a déclaré qu’il ne pouvait pas déterminer si l’attaque était « crédible ».

La vulnérabilité a été révélée dans le système d’accès sans clé de Honda et permet aux hackers de potentiellement démarrer « tous les véhicules Honda existant actuellement sur le marché. » L’attaque a été découverte par des chercheurs en sécurité de Star-V Lab, Wesley Li et Kevin2600.

La vulnérabilité a été exploitée dans la manière dont le système d’accès sans clé Honda est utilisé pour transmettre les codes d’authentification entre la voiture et le porte-clés. Elle agit également comme l’attaque par rejeu Bluetooth, qui a été récemment découverte dans certains véhicules Tesla. Elle utilise des équipements radio facilement achetables, où les chercheurs peuvent écouter et capturer les codes avant de les diffuser à la voiture pour compromettre le système et avoir accès à la voiture.

Les chercheurs, grâce à ce bug, ont pu déverrouiller la voiture et démarrer son moteur à distance. Les modèles concernés par cette vulnérabilité sont aussi bien les modèles récents de 2022 que ceux datant d’aussi loin que 2012. The Drive a testé le bug sur un modèle Honda Accord 2021. Ils ont découvert que la clé du porte-clés ne permet pas à l’acteur de la menace de repartir avec le véhicule, malgré l’accès initial pour démarrer la voiture.

Le système de codes roulants de la voiture pourrait permettre d’éviter le bug

Les chercheurs ont déclaré que la faille pouvait être évitée grâce au système de codes roulants du véhicule. Ce mécanisme a été introduit pour prévenir les attaques par rejeu en fournissant un nouveau code pour chaque authentification du système de télédéverrouillage.

Les véhicules sont équipés d’un compteur qui surveille la chronologie des codes générés, qui augmente les comptes lorsqu’il reçoit un nouveau code.

Les chercheurs ont découvert que le décalage dans les véhicules Honda est resynchronisé lorsque les voitures utilisent les commandes de verrouillage et de déverrouillage par une séquence successive. Cela a fait que le véhicule accepte des codes de sessions passées qui auraient dû être invalidés.

Les chercheurs ont ajouté que le compteur est resynchronisé “en envoyant les commandes dans une séquence consécutive aux véhicules Honda”.

Une fois les commandes resynchronisées, les commandes des cercles précédents peuvent à nouveau être utilisées sur le véhicule. Par conséquent, le hacker peut utiliser la commande pour déverrouiller ultérieurement le véhicule à tout moment.

Les chercheurs ont déclaré que la vulnérabilité a été testée sur plusieurs modèles Honda, notamment Honda Fit 2022, Honda Accord 2020 et Honda Civic 2012. Ils ont ajouté qu’à l’heure actuelle, la vulnérabilité peut avoir un impact sur tous les types de véhicules Honda sur le marché, ainsi que sur les voitures de certains autres constructeurs.

Honda dit que l’attaque est techniquement possible

Wesley Li et Kevin2600 ont déclaré vouloir contacter Honda au sujet de la faille, mais ont découvert que l’entreprise ne dispose pas d’un département qui s’occupe strictement des questions de vulnérabilité. Par conséquent, le problème a été signalé au service clientèle de Honda, mais il n’a pas encore reçu de réponse.

Cependant, Chris Naughton, porte-parole de Honda, a déclaré à The Drive que la technologie était initialement insérée dans le porte-clés et qu’elle ne présentait pas la vulnérabilité décrite dans le rapport.

Mais le porte-parole a ensuite déclaré que l’entreprise confirmait les affirmations selon lesquelles il est toujours possible pour les hackers de déployer des outils avancés et un savoir-faire technique pour imiter les commandes de la télécommande sans clé afin d’avoir accès à certains modèles de voitures, y compris Honda.

Bien qu’il soit techniquement possible d’accéder au système de la voiture, Chris a déclaré que le type de piratage qui pourrait exposer le système nécessiterait plusieurs éléments avant de réussir. Il faut capturer régulièrement des signaux à proximité immédiate de plusieurs transmissions RF séquentielles.

Le hacker aura également beaucoup de mal à conduire le véhicule même après avoir obtenu l’accès. En outre, Chris a noté que Honda fournit toujours des mises à jour de ses dispositifs de sécurité, en particulier sur les nouveaux modèles. Ces dispositifs sont dotés de mécanismes très efficaces pour déjouer ce type de menace et d’autres approches.

Bien que la firme ne prévoie pas de fournir des mises à jour de sécurité aux anciens modèles, les modèles 2022 et 2023 redessinés ont été équipés d’un système amélioré qui peut éviter ce type d’attaque, a ajouté le chercheur.