Honda Vulnerability permet l’ouverture et le démarrage à distance

Honda Vulnerability permet l'ouverture et le démarrage à distance

Lors d’un test, des chercheurs en sécurité ont réussi à exploiter une vulnérabilité Honda en piratant la télécommande de différents modèles de véhicules du constructeur. Cela a permis d’ouvrir et de démarrer les voitures à distance.

La vulnérabilité de Honda permet un accès à distance

Les chercheurs Kevin2600 et Wesley Li de la société de sécurité Star-V Lab ont utilisé un test simple pour casser les clés à distance de divers modèles Honda et ont ainsi pu ouvrir et démarrer les véhicules.

Ils appellent cela une attaque « RollingPWN » car ils supposent qu’un tel accès à distance serait tout aussi facilement possible avec des véhicules d’autres fabricants. Tous les modèles du constructeur de 2012 à 2022 sont concernés par la vulnérabilité Honda, dix véhicules différents ont été testés par le duo.

« Nous avons testé avec succès les derniers modèles de véhicules Honda. Et nous croyons fermement que la vulnérabilité affecte tous les modèles Honda actuellement sur le marché. » écrire les chercheurs en sécurité dans le rapport.

Clés de voiture toujours incertaines

Une version vulnérable du Mécanisme des codes tournants dans les clés. Cela sert en fait de méthode d’authentification pour les systèmes de clé radio, dans lesquels l’expéditeur transmet au destinataire un code dit suivant en constante évolution.

Ceci est censé empêcher les attaques par rejeu, car chaque code suivant est unique. « Le bug PWN roulant est une vulnérabilité sérieuse », les chercheurs continuent d’écrire.

Cela coïncide avec les résultats d’un test publié par le club automobile français ADAC en février de cette année. On peut en conclure que les systèmes sans clé ne sont suffisamment protégés que dans 24 voitures sur 500.

Système sans clé de clé de voiture

Honda elle-même n’a apparemment pas de système de signalement des vulnérabilités dans les systèmes de sécurité, comme les chercheurs en sécurité continuent de l’expliquer. En conséquence, à la demande d’un employé de Honda, ils ont contacté le service client pour informer le constructeur automobile des problèmes.

Honda ne prévoit aucune mise à jour

Le site Web ordinateur qui saigne a ensuite contacté Honda, qui a répondu par une déclaration pas vraiment satisfaisante. En conséquence, les informations de l’équipe de recherche n’ont pas encore été vérifiées et aucune vulnérabilité de leurs propres véhicules ne peut actuellement être déterminée.

Mais s’il y a une vulnérabilité, ayez « Honda n’a actuellement pas l’intention de mettre à jour les véhicules plus anciens ». La raison invoquée est que de tels hacks ne sont possibles qu’à une courte distance de la voiture respective.

En face de la revue carte mère Honda arrive à une déclaration très similaire. Il déclare qu’il n’y a pas suffisamment de preuves d’un bug ou d’un problème dans les vidéos des chercheurs en sécurité.

Les chercheurs, d’autre part, recommandent de faire mettre à jour les véhicules concernés dans l’atelier en utilisant des mises à jour en direct (OTA), si cette option est même offerte. On ne peut donc pas prouver si la faille de sécurité de sa propre voiture a été exploitée. La prudence est donc de mise.