Une équipe de pirates de «white hat» a découvert 14 vulnérabilités logicielles et matérielles dans une gamme de BMW après avoir réalisé ce que BMW dit être les «tests les plus détaillés et complexes jamais effectués» par une entreprise tierce.
Les pirates ont trouvé une gamme de vulnérabilités dans les BMW i3 et X1, ainsi que la série 5 de la série 5 et 7. Huit des problèmes liés aux systèmes d’infodivertissement des voitures, quatre étaient liés à leurs unités de télématique, et deux concernaient la passerelle de diagnostic de diagnostic des véhicules.
Publicité – Le message se poursuit ci-dessous
• Sécurité automobile: garder une longueur d’avance sur les criminels
La société chinoise de cybersécurité qui a découvert les défauts, Tencent Keen Safety Lab, a déclaré que «ces chaînes d’attaque pourraient être utilisées par des attaquants qualifiés à un coût très faible», ajoutant qu’ils permettraient aux pirates de «déclencher ou contrôler les fonctions d’automobile sur un large Distance de plage ».
Alors que neuf des attaques nécessitaient une connexion physique à établir entre les automobiles et l’équipement de piratage, cinq pourraient être adoptés à distance en exploitant des points faibles dans les connexions Bluetooth et GSM, ainsi que les services d’infodivertissement ConnectedDrive de BMW.
Après un an de recherche qui découvre les défauts, Tencent Keen Safety Lab a informé BMW des vulnérabilités. Le constructeur automobile a confirmé les conclusions de Tencent dans les deux semaines et a ensuite annoncé qu’elle avait assisté aux vulnérabilités avec «des mises à niveau [qui] ont été déployées dans le backend du groupe BMW et téléchargées sur les unités de contrôle de la télématique au moyen de la connexion sur l’air.»
BMW était tellement satisfaite des découvertes de Tencent – qualifiant ses efforts de «travail de recherche exceptionnel» – qu’il a décerné à la société la toute première BMW Group Digitalization and IT Research Award. Les deux entreprises «discutent désormais des options pour des activités de recherche et de développement approfondies conjointes».
• Comment éviter le vol d’automobile sans clé
La décision de BMW de récompenser et de planifier de futurs projets avec Tencent Keen fait écho aux programmes similaires employés par les sociétés technologiques de la Silicon Valley. Facebook a versé 6,3 millions de dollars (environ 4,7 millions de livres sterling) à White Hat Hackers pour avoir signalé des vulnérabilités compte tenu de 2011, tandis que Google a attribué 12 millions de dollars (environ 9 millions de livres sterling) compte tenu de 2010.
Les automobiles connectées à Internet devenant de plus en plus conventionnelles sur le marché et l’investissement substantiel dans les automobiles autonomes de l’industrie, les fabricants peuvent se tourner vers des pirates de chapeaux blancs pour découvrir des problèmes de sécurité beaucoup plus fréquemment à l’avenir. Cette pratique pourrait agir comme un filet de sécurité pour les logiciels couchés, permettant de réparer les faiblesses avant d’être exploitées.
Protégez-vous contre le vol d’automobile sans clé avec ces bloqueurs de signaux cruciaux d’automobile Faraday…
