S’il est désormais possible d’accéder aux réseaux sociaux, de consulter ses e-mails, de connecter son smartphone ou de calculer son itinéraire, les technologies qui sous-tiennent ces applications s’accompagnent également de nouveaux risques pour leurs utilisateurs.
La vie privée, les mises à jour des logiciels et les applications embarquées pour smartphones sont potentiellement trois vecteurs d’attaque distincts pour les cybercriminels, soutient Kaspersky Lab. Un mot de passe volé signifie la possibilité de localiser le véhicule et d’en déverrouiller les portières à distance. Les enjeux de vie privée sont cruciaux et les automobilistes doivent aujourd’hui être conscients de l’apparition de risques inédits.
Testé par Kaspersky Lab, le système ConnectedDrive de BMW a permis de découvrir plusieurs vecteurs potentiels d’attaque
> Vol d’identifiants – Le vol des identifiants d’accès au site Web de BMW -au moyen de techniques courantes telles que le phishing, les enregistreurs de frappe clavier (keyloggers) ou le social engineering- pourrait permettre à un tiers d’accéder sans autorisation aux informations de l’utilisateur puis au véhicule lui-même. Il est dès lors possible d’installer une application mobile avec les mêmes identifiants et d’activer des services à distance avant d’ouvrir la voiture et de la voler.
> Application mobile – L’activation des services mobiles d’ouverture à distance revient à créer un double du jeu de clés de la voiture. Si l’application n’est pas sécurisée, il suffit de dérober le téléphone du propriétaire pour accéder à son véhicule. Avec un téléphone volé, il devient éventuellement possible de modifier les applications de base de données et de contourner toute authentification par code PIN, ce qui facilite l’activation de services à distance par une cyberattaque.
> Mises à jour – Les logiciels pilotes Bluetooth sont mis à jour par téléchargement d’un fichier à partir du site de BMW et installation depuis une clé USB. Ce fichier, qui n’est ni crypté ni signé, contient de nombreuses informations sur les systèmes internes du véhicule. Un attaquant éventuel pourrait ainsi avoir accès à l’environnement ciblé mais aussi le modifier pour exécuter du code malveillant.
> Communications – Certaines fonctions communiquent par SMS avec la carte SIM présente dans le véhicule. Un piratage de ce canal de communication permet d’envoyer de fausses instructions, en fonction du niveau de cryptage mis en place par l’opérateur téléphonique. Dans le pire des scénarios, un criminel pourrait remplacer les communications de BMW par ses propres instructions et services.
