Une faille informatique permettait à des hackers de déverrouiller et de démarrer des voitures Kia à distance grâce à simple numéro d’immatriculation. Le constructeur sud-coréen a depuis publié un correctif.
Prendre le contrôle à distance de « la quasi-totalité des véhicules Kia construits après 2013 « , en 30 secondes chrono à partir d’un simple numéro d’immatriculation. C’est ce qu’ont réussi quatre chercheurs américains en cybersécurité (Sam Curry, Neiko Rivera, Justin Rhinehart et Ian Carroll), grâce à une faille de sécurité détectée dans le système informatique du constructeur.
Il suffisait aux hackers d’obtenir le numéro d’immatriculation de la voiture à pirater. À l’aide de celui-ci, ils n’avaient plus qu’à créer un faux compte dans le système interne dédié aux concessionnaires Kia pour obtenir le nom, le numéro de téléphone et l’adresse e-mail du propriétaire. Une fois authentifier sur le portail, les hackers avaient alors tout loisir « de changer l’adresse courriel du titulaire de l’auto pour s’enregistrer comme nouveau propriétaire « sans que l’acheteur de la voiture ne s’en aperçoive. Le constructeur ne faisant parvenir aucune notification lui indiquant la modification de ses données d’accès personnelles. » un enchaînement de manquements au niveau de la chaîne de sécurité « , qui relève « de la responsabilité du constructeur » selon Édouard Baussier, Global mobility and travel sales director chez IDnow platefomre de solution de vérification d’identité et de signature électronique.
De quoi de prendre le contrôle d’une voiture et d’actionner plusieurs commandes comme le déverrouillage, le démarrage, le suivi ou encore actionner le klaxon de la voiture à distance en toute discrétion.
» Ces attaques pouvaient être effectuées à distance même sans abonnement Kia Connect soit actif ou non « (outil permettant de connecter une Kia à un smartphone), expliquent les quatre chercheurs en cybersécurité dans un rapport publié fin septembre où est minutieusement décrite leur méthode d’action¹. Les vulnérabilités, découvertes par les chercheurs ont été transmises à Kia, qui a publié depuis un correctif pour résoudre le problème. Et d’assurer que la faille n’avait pas été exploitée par des hackers.
Pour se prémunir de tels risques, Édouard Baussier, propose » de sécuriser les usages « de la voiture via une application externe qui permet par » une succession d’identifications (biométrie) de s’assurer que ce soit la bonne personne qui prend le contrôle de la voiture « .
1 https://samcurry.net/hacking-kia
Comments