Il existe une nouvelle forme de vol de voiture sans clé qui fonctionne en moins de 2 minutes – Ars Technica

Lorsqu’un homme de Londres a découvert le pare-chocs avant gauche de son Toyota RAV4 arraché et le phare partiellement démonté non pas une mais deux fois en trois mois l’année dernière, il a soupçonné que les actes étaient du vandalisme insensé. Lorsque le véhicule a disparu quelques jours après le deuxième incident et qu’un voisin a découvert que leur Toyota Land Cruiser avait disparu peu de temps après, il a découvert qu’ils faisaient partie d’une nouvelle technique sophistiquée pour effectuer des vols sans clé.

Il se trouve que le propriétaire, Ian Tabor, est un chercheur en cybersécurité spécialisé dans les automobiles. En enquêtant sur la façon dont son RAV4 a été pris, il est tombé sur une nouvelle technique appelée attaques par injection CAN.

Le cas du CAN défectueux

Tabor a commencé par se pencher sur le système télématique “MyT” que Toyota utilise pour suivre les anomalies du véhicule connues sous le nom de DTC (Diagnostic Trouble Codes). Il s’est avéré que son véhicule avait enregistré de nombreux DTC au moment du vol.

Les codes d’erreur ont montré que la communication avait été perdue entre le CAN du RAV4 – abréviation de Réseau de zone de contrôleur– et l’unité de contrôle électronique du phare. Ces ECU, comme ils sont abrégés, se trouvent dans pratiquement tous les véhicules modernes et sont utilisés pour contrôler une myriade de fonctions, y compris les essuie-glaces, les freins, les feux individuels et le moteur. En plus de contrôler les composants, les ECU envoient des messages d’état sur le CAN pour tenir les autres ECU informés des conditions actuelles.

Ce schéma trace la topologie CAN pour le RAV4 :

Les DTC montrant que le phare gauche du RAV4 a perdu le contact avec le CAN n’étaient pas particulièrement surprenants, étant donné que les escrocs avaient arraché les câbles qui le reliaient. Plus révélateur était l’échec simultané de nombreux autres calculateurs, y compris ceux des caméras avant et du contrôle du moteur hybride. Pris ensemble, ces échecs suggéraient non pas que les ECU avaient échoué, mais plutôt que le bus CAN avait mal fonctionné. Cela a envoyé Taber chercher une explication.

Le chercheur et victime de vol s’est ensuite tourné vers des forums sur le crime sur le dark web et des vidéos YouTube expliquant comment voler des voitures. Il a finalement trouvé des publicités pour ce qui était étiqueté des dispositifs de “démarrage d’urgence”. Apparemment, ces appareils ont été conçus pour être utilisés par les propriétaires ou les serruriers lorsqu’aucune clé n’est disponible, mais rien n’empêchait leur utilisation par quiconque, y compris les voleurs. Taber a acheté un appareil annoncé pour démarrer divers véhicules de Lexus et Toyota, y compris le RAV4. Il a ensuite procédé à une ingénierie inverse et, avec l’aide de son ami et collègue expert en sécurité automobile Ken Tindell, a découvert comment cela fonctionnait sur le CAN du RAV4.

À l’intérieur de cette enceinte JBL se cache une nouvelle forme d’attaque

La recherche a révélé une forme de vol de véhicule sans clé qu’aucun des chercheurs n’avait vu auparavant. Dans le passé, les voleurs réussissaient en utilisant ce qu’on appelle une attaque par relais. Ces hacks amplifient le signal entre la voiture et le porte-clés d’entrée sans clé utilisé pour le déverrouiller et le démarrer. Les télécommandes sans clé ne communiquent généralement que sur des distances de quelques mètres. En plaçant un simple appareil radio portable près du véhicule, les voleurs amplifient le message normalement faible que les voitures envoient. Avec une amplification suffisante, les messages atteignent la maison ou le bureau à proximité où se trouve le porte-clés. Lorsque le porte-clés répond avec le message cryptographique qui déverrouille et démarre le véhicule, le répéteur de l’escroc le relaie à la voiture. Sur ce, le voleur s’en va.

“Maintenant que les gens savent comment fonctionne une attaque par relais… les propriétaires de voitures gardent leurs clés dans une boîte en métal (bloquant le message radio de la voiture) et certains constructeurs automobiles fournissent désormais des clés qui s’endorment s’ils sont immobiles pendant quelques minutes (et donc gagnés). ‘t recevoir le message radio de la voiture) “, a écrit Tindell dans un récent poste. « Face à cette défaite mais ne voulant pas renoncer à une activité lucrative, les voleurs ont opté pour une nouvelle façon de contourner la sécurité : contourner tout le système de clé intelligente. Ils le font avec une nouvelle attaque : CAN Injection.

Tindel lié à cette vidéoqui, selon lui, capture un vol d’injection CAN en action.

L’injecteur CAN que Tabor a acheté était déguisé en haut-parleur Bluetooth JBL. Cela donne aux voleurs une couverture au cas où la police ou d’autres personnes deviendraient suspectes. Au lieu de porter un dispositif de piratage évident, l’escroc semble posséder un haut-parleur inoffensif.

Une analyse plus approfondie a révélé qu’il y avait beaucoup plus que cela. Plus précisément, il y avait des puces d’injection CAN greffées sur le circuit imprimé.

Tindell a expliqué :

Il s’avère qu’il s’agit d’environ 10 $ de composants : une puce PIC18F qui contient du matériel CAN, plus un logiciel préprogrammé dans la puce (appelé micrologiciel), un émetteur-récepteur CAN (une puce CAN standard qui transforme les signaux numériques du matériel CAN sur le PIC18F dans les tensions analogiques envoyées sur les fils CAN), et un circuit supplémentaire connecté à l’émetteur-récepteur CAN (plus à ce sujet sous peu). L’appareil est alimenté par la batterie du haut-parleur et se connecte à un bus CAN. Un bus CAN est essentiellement une paire de fils torsadés ensemble, et dans une voiture, il y a plusieurs bus CAN reliés entre eux, soit directement avec des connecteurs, soit câblés numériquement via un ordinateur passerelle qui copie certains messages CAN dans les deux sens entre les bus CAN c’est connecté à.

L’antivol est conçu pour être connecté au bus CAN de contrôle (le bus rouge dans le schéma de câblage) pour se faire passer pour l’ECU de la clé intelligente. Il y a plusieurs façons d’accéder aux fils de ce bus CAN, la seule exigence étant que les fils doivent venir au bord de la voiture pour qu’ils puissent être atteints (les fils enfouis profondément dans la voiture ne sont pas pratiques à atteindre par les voleurs essayant voler une voiture garée dans la rue). De loin, le chemin le plus simple vers ce bus CAN sur le RAV4 est à travers les phares : retirer le pare-chocs et accéder au bus CAN à partir du connecteur des phares. Un autre accès serait possible: même percer un trou dans un panneau où passe la paire torsadée de fils CAN, couper les deux fils et épisser dans l’injecteur CAN fonctionnerait également, mais la valeur diminuée d’une voiture avec un trou dedans signifie que les voleurs empruntent la route la plus facile (les recherches d’Ian ont révélé que la plupart de ces voitures sont destinées à l’exportation, envoyées par conteneur d’expédition vers des endroits en Afrique).

Lors de la première mise sous tension, l’injecteur CAN ne fait rien : il écoute un message CAN particulier pour savoir que la voiture est prête. Lorsqu’il reçoit ce message CAN, il fait deux choses : il commence à envoyer une rafale de messages CAN (environ 20 fois par seconde) et il active ce circuit supplémentaire connecté à son émetteur-récepteur CAN. La rafale de messages CAN contient un signal “la clé intelligente est valide”, et la passerelle le transmettra à l’ECU de gestion du moteur sur l’autre bus. Normalement, cela entraînerait une confusion sur le bus CAN de contrôle : les messages CAN du véritable contrôleur de clé intelligente entreraient en conflit avec les messages imposteurs de l’injecteur CAN, ce qui pourrait empêcher la passerelle de transmettre le message injecté. C’est là qu’intervient ce circuit supplémentaire : il modifie le fonctionnement d’un bus CAN afin que les autres calculateurs de ce bus ne puissent pas parler. La passerelle peut toujours écouter les messages, et bien sûr toujours envoyer des messages sur le bus CAN GMP. La rafale se répète 20 fois par seconde parce que la configuration est fragile, et parfois la passerelle n’écoute pas parce que son matériel CAN se réinitialise (parce qu’elle pense que ne pas pouvoir parler est une indication d’un défaut – ce qui est en quelque sorte) .

Il y a un bouton “Play” sur le boîtier du haut-parleur Bluetooth JBL, et il est câblé dans la puce PIC18F. Lorsque ce bouton est enfoncé, la rafale de messages CAN change légèrement et ils ordonnent à l’ECU de porte de déverrouiller les portes (comme si le bouton « déverrouiller » de la clé sans fil avait été enfoncé). Les voleurs peuvent alors décrocher l’injecteur CAN, monter dans la voiture et la chasser.

Taber et Tindell ont conçu deux défenses qui, selon eux, pourraient vaincre les attaques par injection CAN. Tindell a déclaré avoir informé Toyota des défenses mais n’a pas encore reçu de réponse.