Des chercheurs du spécialiste britannique de la cybersécurité Pen Test Partners ont réussi à pirater facilement le système de sécurité du modèle hybride rechargeable Outlander PHEV de Mitsubishi.

La plupart des  applications mobiles permettant de trouver son véhicule ou le bloquer fonctionnent de la même manière. Un service Web est exposé par le constructeur automobile, ou un fournisseur de service de son choix. Un module cellulaire GSM est intégré à la voiture, ce qui permet au service de communiquer avec le véhicule.

Mitsubishi a fait un choix différent pour l’Outlander PHEV: l’application mobile se connecte directement à la voiture en utilisant son point d’accès Wi-Fi. Ce qui a éveillé l’intérêt des chercheurs de Pen Test Partners, qui ont décidé d’enquêter.

L’intérêt pour le constructeur d’un tel choix technique est financier: il n’y a plus aucun frais lié à la télématique. Le propriétaire est en revanche perdant, puisqu’il doit être à proximité de son véhicule pour utiliser l’application mobile, quand il aurait pu l’utiliser presque dans le monde entier si elle avait été conçue en GSM.

La clé d’accès au Wi-Fi est inscrite sur une feuille de papier placée dans le manuel du propriétaire. Son format est bien trop simple. La clé a pu être trouvée par force brute à l’aide d’un serveur avec quatre cartes graphiques en moins de quatre jours.

Une attaque avec un matériel plus sophistiqué, ou en utilisant un fournisseur de services cloud comme AWS ou Microsoft Azure, permettrait de trouver la clé privée en quelques heures.

Comme le format du SSID du véhicule est très simple: REMOTEnnaaaa où n est un chiffre et a une lettre minuscule, on peut aisément géolocaliser tout véhicule de la gamme à l’aide d’un service comme wigle.net.

Le service de tous les véhicules semble utiliser la même adresse IP et le même port: 192.168.46:8080. Il ne reste plus qu’à effectuer une attaque de l’homme du milieu pour capturer les échanges de données et utiliser l’application mobile pour découvrir quels messages elle envoie et décoder le protocole binaire utilisé.

Après avoir réussi à éteindre et allumer les phares de l’Outlander, les chercheurs ont pu à changer son programme de charge électrique, contrôler son système d’air conditionné, et finalement à désactiver son système d’alarme. Le vol du véhicule n’est alors plus qu’une formalité.

Le pire est que Mitsubishi a complètement ignoré Pen Test Partners, qui l’a d’abord contacté en toute confidentialité pour lui faire part de ses inquiétudes. Il aura fallu que l’entreprise contacte la BBC pour que soudainement le constructeur automobile s’intéresse à la faille de sécurité de son système.

Mitsubishi travaille donc sur un correctif de sécurité pour le micrologiciel de la voiture, pour réduire les risques. Mais la solution à long terme est la réarchitecture du système pour ne plus utiliser le Wi-Fi, et s’appuyer sur la télématique GSM.

Cet exemple prouve une fois encore que la sophistication croissante des voitures n’est pas sans contrepartie. Des spécialistes ont ainsi montré comment voler une BWM avec un smartphone, comment contrôler une Chrysler à distance du monde entier, ou comment pirater une Toyota Prius à l’aide de son port ODB.

Et plus généralement montre l’impératif de cybersécurité nécessaire au développement de l’Internet des objets.