BMW corrige une faille permettant de voler ses voitures connectées
Le constructeur automobile a rapidement reconnu une vulnérabilité dénoncée par l’Adac, le club de l’automobile allemand. Un correctif est en cours de déploiement.
BMW vient de reconnaître, dans un communiqué, une importante vulnérabilité affectant ses voitures connectées. Dévoilée par l’Adac, le club de l’automobile allemand, cette vulnérabilité permettait d’intercepter les communications entre une voiture équipée du système ConnectedDrive et les serveurs du constructeur pour s’introduire dans le véhicule sans effraction.
La vulnérabilité affectait également les modèles Mini et Rolls-Royce équipés de ce même système permettant de contrôler à distance les véhicules du constructeur bavarois. En tout, quelque 2,2 millions de véhicules étaient concernés à travers le monde.
Dans un communiqué, BMW explique avoir commencé à déployer une mise à jour. Celle-ci sécurise les communications entre véhicule et serveur via HTTPS : « les données sont chiffrées avec ce protocole et l’identité du serveur BMW est vérifiée par le véhicule avant que les données ne soient transmises sur le réseau de téléphonie mobile ».
Cette découverte n’est qu’une demi-surprise. En juillet dernier, Kaspersky et IAB ont présenté les résultats d’une étude des vulnérabilités potentielles du système ConnectedDrive de BMW. Et justement, parmi ceux-ci figurait le vecteur d’attaque dont l’Adac a fait la démonstration : « certaines fonctions communiquent avec la carte SIM dans le véhicule en utilisant des SMS. S’immiscer dans ce canal de communication permet d’envoyer de fausses instructions, en fonction du niveau de chiffrement de l’opérateur. Dans le pire des cas, un criminel pourrait remplacer les communications de BMW avec ses propres instructions et services ».
En outre, début août 2014, le groupe I Am The Calvary a publié une lettre ouverte adressée aux constructeurs automobiles, appelant à une collaboration entre cette industrie et les chercheurs en sécurité. Et de proposer une liste de cinq pratiques de référence, le Five Star Automotive Cyber Safety Program. Une pétition en soutien de cet appel a été lancée.
Si la réactivité de BMW mérite d’être soulignée, il n’en est pas moins regrettable qu’il ait fallu l’intervention de l’Adac pour que le constructeur se penche sur des risques déjà largement connus.