Lors d’une expérience test, des chercheurs en sécurité ont réussi à exploiter une vulnérabilité de sécurité de Honda en piratant la clé radio de plusieurs modèles de véhicules du constructeur. Cela a permis d’ouvrir et de démarrer les voitures à distance.
Une faille de sécurité Honda permet un accès à distance
Les chercheurs Kevin2600 et Wesley Li de la société de sécurité Star-V Lab ont utilisé un test simple pour déchiffrer les clés sans fil de différents modèles Honda, leur permettant ainsi d’ouvrir et de démarrer les véhicules.
Ils appellent tout cela une attaque « RollingPWN », car ils supposent qu’un tel accès à distance serait tout aussi simple avec des véhicules d’autres constructeurs. Tous les modèles du constructeur de 2012 à 2022 sont concernés par la faille de sécurité Honda, et dix véhicules différents ont été testés par le duo.
« Nous avons testé avec succès les derniers modèles de véhicules Honda. Et nous croyons fermement que cette vulnérabilité affecte tous les modèles Honda actuellement sur le marché. écrivent les chercheurs en sécurité dans le rapport.
Les clés de voiture ne sont toujours pas sécurisées
Une version vulnérable du mécanisme des codes tournants dans les clés a été utilisée à cet effet. Ceci est en fait utilisé comme méthode d’authentification dans les systèmes de clé radio, où l’expéditeur transmet au destinataire un code dit suivant, en constante évolution.
Il s’agit en fait d’empêcher les attaques par rejeu, puisque chaque code suivant est unique. « Le bug PWN évolutif est une vulnérabilité sérieuse » les chercheurs écrivent plus loin.
Cela coïncide avec les résultats d’un test publié en février de cette année par le club automobile allemand ADAC. On peut en conclure que les systèmes sans clé de seulement 24 voitures sur 500 étaient suffisamment protégés.
Honda lui-même ne dispose apparemment pas de système de signalement des vulnérabilités des systèmes de sécurité, comme l’expliquent en outre les chercheurs en sécurité. Selon le rapport, ils ont contacté le service client, à la demande d’un employé de Honda, pour informer le constructeur automobile des problèmes.
Honda n’a pas de projet de mise à jour
Le site BleepingComputer a alors contacté Honda, qui a répondu par une déclaration peu satisfaisante. Selon le communiqué, ils n’ont pas encore vérifié les informations fournies par l’équipe de recherche et ne peuvent actuellement déterminer aucune vulnérabilité de leurs propres véhicules.
Cependant, s’il y a une vulnérabilité, « Honda n’a actuellement pas l’intention de fournir une mise à jour aux véhicules plus anciens ». La raison invoquée est que les hacks correspondants ne sont possibles qu’à une courte distance de la voiture concernée.
En face du magazine Carte mère, Honda fait une déclaration très similaire. Il affirme ne pas voir suffisamment de preuves d’un bug ou d’un problème dans les vidéos des chercheurs en sécurité.
- Plus de sécurité pour les voitures : La réglementation européenne rend les systèmes d’assistance obligatoires
Les chercheurs recommandent en revanche que les véhicules concernés soient mis à jour en atelier à l’aide de mises à jour en direct (OTA), si cette option était proposée. Il n’a pas été possible de prouver si la faille de sécurité avait été exploitée dans la propre voiture. La prudence est donc de mise.
