Des chercheurs découvrent une faille pour déverrouiller des millions de véhicules Volkswagen
Des chercheurs découvrent une faille pour déverrouiller des millions de véhicules Volkswagen
Avec un matériel simple, une équipe de chercheurs en sécurité informatique a démontré qu’il était possible de cloner le « bip » d’une voiture de l’entreprise allemande.
Ce n’est pas la première fois que des failles sont découvertes dans les systèmes de Volkswagen. | Brennan Linsley / AP
Des chercheurs de l’université de Birmingham et de l’entreprise allemande Kasper & Oswald ont découvert une faille permettant de déverrouiller à distance des voitures Volkswagen sans posséder leurs clés. Elle pourrait concerner plus de 100 millions de véhicules, soit la quasi-totalité de ceux vendus par l’entreprise ces vingt dernières années.
Dans un article publié cette semaine à l’occasion de la conférence Usenix à Austin consacrée à la sécurité informatique, les quatre chercheurs expliquent comment ils parviennent à intercepter le signal de déverrouillage d’un véhicule et à en cloner le « bip ». Un journaliste allemand de la Süddeutsche Zeitung a pu assister à une démonstration du dispositif.
Dans un premier temps, en analysant le système informatique de toutes ces voitures Volkswagen, les chercheurs ont découvert que seules quelques clés de chiffrement étaient utilisées pour des millions de véhicules disséminés à travers le monde. « En connaissant ces clés, il ne reste plus au pirate qu’à intercepter le signal de la télécommande de sa cible. Alors il pourra le déchiffrer (...) et fabriquer un clone de la télécommande pour verrouiller ou déverrouiller n’importe quelle porte du véhicule autant de fois qu’il le voudra », expliquent les chercheurs dans leur article.
Un matériel accessible
L’interception de ce signal nécessite un matériel simple et peu onéreux, puisqu’un une carte électronique Arduino équipée d’un récepteur radio coûte environ 35 dollars. Seule limite, le pirate doit se trouver à moins de 90 mètres du véhicule pour intercepter ce signal. Cette vulnérabilité concerne aussi les véhicules d’autres marques appartenant au groupe Volkswagen, comme Audi et Skoda.
Parallèlement, les chercheurs ont aussi détecté une faille similaire dans le système de chiffrement HiTag2, qui équipe quelques millions de véhicules des marques Citroën, Peugeot, Alpha Romeo, Fiat, Ford, Nissan, Mitsubishi ou encore Opel.
Interrogé par la presse allemande, Volkswagen a admis que « les systèmes de sécurité des véhicules âgés de jusqu’à 15 ans ne présentent pas le même niveau de sécurité que ceux (des) véhicules actuels » du groupe. Les chercheurs disent dans leur article avoir prévenu l’entreprise avant la publication. « Le groupe Volkswagen a reconnu ces vulnérabilités », écrivent-ils. « Nous avons accepté de ne pas divulguer certains détails », pour éviter d’offrir un mode d’emploi précis à de potentiels pirates.
Le scientifique Flavio Garcia, qui fait partie de cette équipe de recherche, n’en est pas à son coup d’essai. L’an dernier, il avait mis au jour une autre faille de Volkswagen, permettant à des pirates de démarrer des voitures fonctionnant sans clé.