A : « Vous voulez dire que votre voiture sans clé a été volée malgré votre alarme ? » B :" Non, ma voiture a été volée à cause de mon alarme. » Cela a-t-il un sens ? Ce serait le cas si vous lisiez les conclusions d'une entreprise de sécurité britannique lorsqu'elle a examiné des alarmes de voiture tierces.

En bref, des failles de sécurité ont été trouvées dans des alarmes tierces apparaissant dans des voitures connues de la marque. Oui, ils parlaient de ces alarmes qui offrent d'empêcher les voitures d'être détournées. Ils ont la possibilité pour une personne de démarrer la voiture à partir d'une application pour smartphone. Pensez-vous ce que nous pensons? Application smartphone ? Avec une application d'alarme non sécurisée, les chercheurs ont pu (1) activer des alarmes de voiture, (2) déverrouiller les portes de la voiture et (3) démarrer le moteur.

Les chercheurs en sécurité ont exploité les marques qui pouvaient laisser la porte ouverte (une boutade appropriée) pour arracher le contrôle. Ils ont constaté un certain nombre de faiblesses dans deux produits d'alarme testés. Ceux-ci comprenaient les résultats que la voiture pouvait être géolocalisée en temps réel, le type de voiture a pu être identifié, pourrait démarrer le moteur à distance et, dans certains cas, le moteur pourrait être arrêté.

La recherche a été réalisée pour le programme de technologie Click de la BBC par Pen Test Partners, basé au Royaume-Uni, dans le domaine de la découverte de failles logicielles via des tests d'intrusion et des services de sécurité. Ils ont déboursé 5 $, 000 pour acheter et installer les alarmes intelligentes pour voitures.

Une vidéo sur BBC News montrait deux pirates informatiques attendant de se déplacer sur une voiture choisie, puis piégée. La victime dans la voiture noire n'avait aucune idée (comme reconstitué) de ce qui allait se passer. L'alarme de panique de la voiture s'est déclenchée, provoquant l'arrêt du conducteur. Puis, dans une petite voiture derrière la voiture de la victime, les assaillants sont sortis et ont pris le contrôle des serrures des portes.

"Sortez de la voiture. Donnez-moi vos clés."

L'équipe a contacté les fournisseurs impliqués et leur a donné 7 jours pour supprimer ou réparer les API vulnérables. Heureusement, les entreprises ont réagi à l'exposition et elles ont amélioré la sécurité pour éliminer les failles.

Un représentant britannique de l'une des entreprises a répondu dans environ 48 heures et a demandé à son autre bureau de prendre des mesures rapidement. Le correctif était du jour au lendemain; l'autre société avait aussi un correctif.

Pen Test Partners a évalué les réactions des fournisseurs, en disant que "la réponse des deux fournisseurs était en fait assez bonne. Ils ont reconnu, a répondu, a pris des mesures immédiates et l'a vérifié. Une leçon pour tous les vendeurs IoT là-bas !"

"Comme de plus en plus de choses sont contrôlables par le réseau, la sécurité devient de plus en plus importante, " mentionné Hackaday. Quant aux réponses des lecteurs de la BBC, il semble qu'il existe un segment des propriétaires de voitures qui ne soit pas impressionné par les avancées technologiques. Non seulement ils ne sont pas impressionnés mais regrettent l'augmentation de la dépendance à l'égard de la technologie affectant les fonctions automobiles.

Un commentaire était qu'"il n'y a pas d'"Intelligence" dans aucun logiciel... ce n'est rien d'autre que des statistiques/probabilités. En d'autres termes, c'est une question de temps avant que le mauvais choix ne soit fait."

Un autre commentaire disait qu'il souhaitait pouvoir acheter une voiture "sans toute l'automatisation. Je ne veux pas que l'ordinateur allume les essuie-glaces pour moi, ou changer l'angle de mes phares quand je tourne, ou me biper quand je change de voie. Distractions dangereuses. Je conduis; Je devrais avoir le contrôle de la voiture."

Encore un autre : « Si c'est [sic] connecté à Internet, c'est piratable, que ce soit une voiture ou une centrale nucléaire. J'ai travaillé pour une entreprise impliquée dans les infrastructures de transport critiques pour la sécurité, et nous avions une règle stricte selon laquelle l'équipement opérationnel n'était jamais connecté à Internet, que ce soit par VPN ou autre technique de sécurité."

D'autres commentaires indiquent que l'accent ne devrait pas être mis sur la nature fragile du logiciel mais sur la nécessité de tests et de débogage approfondis avant qu'un produit puisse être publié.

Un commentaire portait sur la manière dont les entreprises ont réagi rapidement dans ce cas. Les failles de sécurité sont une réalité de la vie numérique, alors traitez-le simplement. Les points focaux clés sont la « divulgation des vulnérabilités et la remédiation efficace » qui sont une « mesure cruciale de la confiance ». Le commentaire a ajouté qu'il faudrait faire plus de réponse dans les 7 jours que l'aspect « avoir peur ! »

© 2019 Réseau Science X