Cybercriminalité
,
Sécurité des terminaux
,
Gestion de la fraude et cybercriminalité
Menace de montage de vol automatique sans clé pour les propriétaires de voitures
Prajeet Naïr (@prajeetspeaks) •
18 octobre 2022
La police de trois pays européens a arrêté 31 personnes impliquées dans le vol sans clé d’automobiles. La rafle comprenait des suspects en France, en Espagne et en Lettonie. Leur nombre comprend des développeurs de logiciels permettant le vol, ses revendeurs et des voleurs de voitures qui s’en sont servis pour s’enfuir avec des véhicules fabriqués par deux constructeurs français anonymes.
Voir également: À la demande | Construire un déploiement IoT sécurisé à l’aide du WAN sans fil 5G
L’opération a été coordonnée par Europol, qui annoncé que les autorités nationales ont perquisitionné 22 sites et saisi plus d’un million d’euros.
L’opération a été pilotée par le Centre de cybercriminalité de la Gendarmerie française. L’affaire est active depuis au moins mars. Le logiciel a été commercialisé en ligne comme outil de diagnostic, et Europol affirme que les voleurs l’ont utilisé pour “remplacer le logiciel d’origine des véhicules, permettant d’ouvrir les portes et de démarrer le contact sans le porte-clés réel”. Le forfait complet a coûté 4 000 euros, a indiqué un porte-parole d’Europol. L’agence paneuropéenne de coordination des forces de l’ordre prévoit l’arrestation d’autres voleurs qui ont utilisé le logiciel.
Le vol de voitures sans clé est devenu un problème croissant alors que les automobiles sont de plus en plus dominées par des capteurs internes associés à des connexions sans fil et que les clés physiques sont remplacées par des porte-clés.
Un moyen courant d’exécuter un vol de voiture sans clé est une attaque par relais, qui consiste à intercepter le balayage d’une voiture pour un signal provenant d’un porte-clés avec l’autorisation de démarrer le moteur. Le réseau européen de vols de voitures enroulé par Europol semble plus sophistiqué, déclare Sam Beaumont, principal consultant en sécurité chez IOActive.
Sur la base de données accessibles au public, il semble que les voleurs aient trouvé une vulnérabilité dans l’unité de contrôle électronique régissant l’autorisation de nouveaux porte-clés. Soit ils ont trouvé un moyen de sauter une vérification que le nouveau porte-clés est correctement autorisé, soit ils ont simplement reprogrammé l’ensemble de l’unité de contrôle électronique, a-t-elle déclaré à Information Security Media Group.
La façon dont les voleurs ont eu accès à l’ECU en question “est la partie intéressante”. C’est moins clair, mais cela nécessite probablement un accès physique à une voiture.
“Ils ne volent pas la clé légitime de quelqu’un et ne la reprogramment pas pour ouvrir la porte”, explique le chercheur en sécurité automobile.
Un ECU fabriqué par une seule entreprise peut alimenter la chaîne d’approvisionnement de plusieurs constructeurs automobiles et devenir présent dans des dizaines ou des centaines de milliers de voitures.
L’industrie automobile est plus préoccupée par la cybersécurité qu’elle ne l’était autrefois, mais la flotte de véhicules actifs a un long chemin à parcourir pour rattraper les meilleures pratiques telles que la sécurité dès la conception. L’âge moyen des voitures et des camions légers en circulation aux États-Unis actuellement des stands à un peu plus de 12 ans, reflétant une tendance à la hausse qui s’est particulièrement accélérée au cours de la dernière décennie.
“Normalement, le véhicule que vous conduisez maintenant a été pensé il y a dix ans”, dit Beaumont.
Avec un reportage de David Perera de l’ISMG à Washington, DC.