Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

L'Image du jour

Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Après la Jeep Cherokee, une Corvette contrôlée à distance

La société Mobile Devices a indiqué hier qu'elle allait mettre à jour les unités de contrôle télématique vulnérables à l'attaque à distance démontrée par des chercheurs sur une Corvette. (crédit : D.R.).

La société Mobile Devices a indiqué hier qu'elle allait mettre à jour les unités de contrôle télématique vulnérables à l'attaque à distance démontrée par des chercheurs sur une Corvette. (crédit : D.R.).

Le fabricant français Mobile Devices Ingenierie diffuse actuellement des mises à jour de son unité de contrôle télématique que des chercheurs en sécurité ont utilisé pour intervenir à distance sur une Corvette. La méthode d'intervention a été présentée sur la conférence Usenix.

La vulnérabilité des véhicules connectés a de quoi soulever de vives inquiétudes. Après la prise de contrôle en juillet dernier d'une Jeep Cherokee fabriquée par Fiat/Chrysler ayant entraîné le rappel de 1,4 million de modèles, des chercheurs en sécurité ont montré comment une Corvette pouvait être exposée à un piratage à distance. La prise de contrôle a pu être effectuée en utilisant une unité de contrôle télématique (TCU), en l’occurrence un dongle qui se branche sur le port OBD-II (On-Board Diagnostics II) du véhicule. Ce port se trouve généralement sous le tableau de bord du côté du conducteur. L’accessoire en question a été fabriqué par la société française Mobile Device Ingenierie. Cette dernière a indiqué qu’elle avait diffusé des mises à jour de sécurité pour son produit.

Les TCU et leurs connexions cellulaires sont de plus en plus utilisées dans les voitures par les compagnies d'assurance pour surveiller les pilotes ou pour assurer la gestion des flottes. Lors de la conférence Usenix 2015 sur la sécurité qui s’est déroulée cette semaine à Washington D.C. (du 12 au 14 août), des chercheurs de l'Université de Californie ont montré comment un dongle de la série C4E fabriqué par Mobile Devices Ingenierie pouvait être contrôlé à distance (cf le document qu'ils ont publié). L’unité de contrôle télématique collecte les données du véhicule en accédant au bus CAN (Controller Area Network) qui permet aux microcontrôleurs et périphériques de communiquer entre eux. Celui-ci s’interface avec une grande variété de capteurs. Les universitaires ont montré qu'ils avaient pu envoyer à distance une commande par un message texte vers la TCU et accéder au bus CAN. Ceci leur a permis de prendre le contrôle des essuie-glaces et des freins d’une Corvette roulant à faible allure à en juger par une vidéo.

Activer automatiquement les dispositifs de sécurité

Aaron Solomon, CEO de Mobile Devices, a indiqué par email que sa société identifiait, avec ses clients, les dispositifs vulnérables qui avaient été déployés afin de les sécuriser d’ici dix jours en s’assurant que la mise à jour sera bien appliquée sur les véhicules concernés. L’une des difficultés rencontrées tient au mode de distribution des produits qui sont vendus par des intégrateurs sous une forme permettant à ceux-ci de développer leurs propres applications. Les TCU disposent d’un mode production qui, s’il est activé, renforce la sécurité, mais ce sont les intégrateurs qui décident quand et comment l’activer, explique le dirigeant de Mobile Devices. La société change son approche de gestion de la sécurité avec de nouvelles dispositions qui activeront automatiquement le package de sécurité quand les accessoires seront déployés.

Pour contrôler les essuie-glace et actionner les freins de la Corvette, les chercheurs sont passés par une unité de contrôle télématique de la gamme C4E de Mobile Devices.

La Corvette utilisée par les chercheurs n’a pas de vulnérabilité en elle-même et l’attaque s’est seulement focalisée sur le TCU de Mobile Devices. Mais les constructeurs automobiles installent également leurs propres unités de contrôle télématique qui ont aussi montré qu’elles étaient vulnérables.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité