Une faille sur le portail des constructeurs automobiles pourrait permettre aux pirates de déverrouiller des voitures et de voler des données

Une faille de sécurité dans le portail en ligne d'un grand constructeur automobile a exposé les données clients et aurait pu permettre à des pirates de déverrouiller des véhicules à distance. Découvrez ce « cauchemar sécuritaire » et obtenez des conseils pour protéger votre voiture du suivi.

Une nouvelle faille de sécurité a été découverte dans le système en ligne d'un grand constructeur automobile, exposant les données clients et permettant potentiellement l'accès à distance aux véhicules. La faille a été découverte par le chercheur en sécurité Eaton Zveare, qui a transmis ses conclusions à l'entreprise, ce qui a conduit à une correction en février 2025. Zveare n'a pas divulgué le nom du constructeur, mais a déclaré qu'il s'agissait d'une marque bien connue comptant plus de 1 000 concessionnaires aux États-Unis .

Pour information, Zveare est connu pour identifier des vulnérabilités critiques dans les objets connectés. Par exemple, ses conclusions de juin 2022 ont révélé une vulnérabilité dans une application de jacuzzi intelligent, qui pourrait être exploitée à distance par un attaquant pour extraire des données d'utilisateurs non avertis.

La vulnérabilité a été découverte dans un portail en ligne utilisé par les concessionnaires du constructeur. Zveare a découvert un moyen de contourner la sécurité de connexion en modifiant le code du portail, ce qui lui a permis de créer un nouveau compte « administrateur national ». Il a ainsi obtenu un accès illimité aux informations privées de milliers de clients, notamment leurs données personnelles, leurs informations financières et les informations sur leurs véhicules.

Grâce au numéro d'identification unique ( NIV ) d'un véhicule, visible sur le pare-brise, un pirate pouvait retrouver le nom du propriétaire. Plus inquiétant encore, cette faille permettait à un pirate de contrôler à distance certaines fonctions du véhicule, comme le déverrouillage des portes, simplement en connaissant le nom du client ou le NIV. Bien que Zveare n'ait pas testé la possibilité de repartir avec les véhicules, cette vulnérabilité pouvait facilement être exploitée par des voleurs.

Le portail des concessionnaires exposait également bien plus que les informations clients. Grâce à son nouvel accès administrateur, Zveare pouvait consulter les données financières de tous les concessionnaires et même suivre en temps réel la localisation des véhicules de location ou de courtoisie. Il a souligné que les failles de sécurité constituaient un véritable cauchemar en matière de sécurité, car il était possible d'usurper l'identité d'autres utilisateurs et d'accéder à différents systèmes.

L'entreprise de cybersécurité Malwarebytes s'est prononcée sur le sujet, affirmant que ce type de vulnérabilité facilite le suivi et la traque des autres. Zveare, qui a présenté ses conclusions lors de la conférence sur la sécurité Defcon, indique qu'il a fallu environ une semaine à l'entreprise pour corriger les bugs après leur divulgation.

Il a déclaré à TechCrunch que le problème principal résidait dans de simples failles d'authentification, en déclarant : « Si vous vous trompez sur ces points, alors tout s'effondre. »

Pour les personnes soucieuses de la sécurité de leur voiture, voici quelques conseils simples pour éviter tout suivi indésirable :

• Utilisez l’application de navigation de votre téléphone (comme Google Maps) au lieu de celle intégrée à votre voiture.

• N'enregistrez pas les destinations régulières dans le système de navigation de la voiture.

• Maintenez le logiciel de votre voiture à jour pour vous assurer de bénéficier des dernières protections de sécurité.

• Vérifiez les applications d'accès à distance de votre voiture pour vous assurer qu'aucun appareil inconnu n'a été lié à votre compte.