Un chercheur en sécurité a découvert de graves failles dans le portail en ligne d’un grand constructeur automobile. Ces vulnérabilités auraient pu permettre à un pirate de créer un compte administrateur avec un « accès illimité » aux données des clients et de prendre le contrôle à distance de certaines fonctions de leurs voitures, comme le déverrouillage des portes.
Un accès total aux données des clients et des véhicules
Eaton Zveare, un chercheur en sécurité de chez Harness, a révélé à la conférence Def Con que des failles dans le portail de concessionnaires d’un constructeur automobile non identifié permettaient de contourner le mécanisme de connexion. Il a ainsi pu créer un compte « administrateur national ».
Grâce à cet accès, un pirate malveillant aurait pu consulter des informations personnelles et financières des clients, suivre des véhicules en temps réel et même associer des véhicules à de nouveaux comptes mobiles pour en prendre le contrôle. Selon Zveare, le code défectueux se chargeait directement dans le navigateur, permettant de modifier le processus de connexion pour contourner les contrôles de sécurité.
Déverrouiller des voitures depuis n’importe où
La faille la plus inquiétante permettait de coupler n’importe quel véhicule avec un compte mobile. En utilisant le numéro d’identification unique d’une voiture, un pirate aurait pu prendre le contrôle de fonctionnalités à distance, comme le déverrouillage des portes. Zveare a testé cette méthode avec le consentement d’un ami, prouvant que la seule attestation de légitimité du portail était une simple promesse écrite.
Il a déclaré : « Je pourrais faire ça à n’importe qui simplement en connaissant son nom […] ou je pourrais simplement chercher une voiture dans les parkings. »
Une interconnexion synonyme de « cauchemar de sécurité »
L’accès au portail offrait un accès à plus de 1 000 concessionnaires du constructeur à travers les États-Unis. Zveare a expliqué que les systèmes des concessionnaires sont tous interconnectés grâce à l’authentification unique. Cela aurait pu permettre aux pirates d’accéder aux systèmes d’autres concessionnaires en se faisant passer pour d’autres utilisateurs.
Il a qualifié cette fonctionnalité d’« authentique cauchemar de sécurité qui n’attend que de se produire ». Après avoir été informé par le chercheur, le constructeur automobile a corrigé les bugs en une semaine, en février 2025, et a confirmé n’avoir trouvé aucune preuve d’exploitation antérieure.
Source : Techcrunch