Les chercheurs en sécurité ont découvert de multiples vulnérabilités dans les unités d'infodivertissement utilisées dans certaines voitures Skoda qui pourraient permettre à des acteurs malveillants de déclencher à distance certaines commandes et de suivre la position de la voiture en temps réel. La société de cybersécurité PC Automotive, spécialisée dans le secteur automobile, a annoncé cette semaine 12 nouvelles vulnérabilités de sécurité affectant le dernier modèle de la berline Superb III de Skoda lors de la conférence Black Hat Europe. L'année précédente, le groupe avait annoncé neuf autres vulnérabilités affectant le même modèle de véhicule. Skoda est une marque automobile appartenant au géant automobile allemand Volkswagen.


Danila Parnishchev, directrice des évaluations de sécurité chez PC Automotive, a déclaré que les pirates pourraient regrouper ces vulnérabilités et les exploiter pour injecter des logiciels malveillants dans les voitures. Un attaquant devrait être connecté à l'unité multimédia de la Skoda Superb III via Bluetooth pour exploiter les vulnérabilités, mais il a noté : "L'attaque peut être menée dans un rayon de 10 mètres et ne nécessite pas d'authentification."

Les vulnérabilités ont été découvertes dans l'unité d'infodivertissement MIB3 de la voiture, permettant à un attaquant d'exécuter du code sans restriction et d'exécuter du code malveillant à chaque démarrage de l'unité. Selon PCAutomotive, cela pourrait permettre à un attaquant d'obtenir les coordonnées GPS et les données de vitesse du véhicule en temps réel, d'enregistrer des conversations via le microphone du véhicule, de prendre des captures d'écran de l'écran d'infodivertissement et de diffuser des sons arbitraires dans le véhicule.

PCAutomotive a vérifié ces failles sur une Superb III, et il est également possible pour un attaquant de voler la base de données de contacts du téléphone portable du propriétaire si ce dernier a activé la synchronisation des contacts avec la voiture.

"En règle générale, les téléphones mobiles sont cryptés, de sorte que la base de données de contacts ne peut pas être facilement extraite, et la base de données de contacts des appareils d'infodivertissement est généralement stockée en texte clair", a expliqué Parnishchev.

Parnishchev a souligné qu'ils n'avaient pas trouvé de moyen de contourner les restrictions de la passerelle du réseau embarqué sur l'accès aux commandes critiques pour la sécurité du véhicule, telles que le volant, les freins et l'accélérateur.

PCAutomotive a partagé le rapport avant une note de recherche publiée jeudi indiquant que les unités MIB3 vulnérables sont utilisées dans plusieurs modèles de Volkswagen et Skoda, avec des estimations selon lesquelles le nombre de véhicules vulnérables pourrait dépasser 1,4 million sur la base des données de ventes publiques.

Si l’on prend en compte le marché secondaire, le nombre de véhicules vulnérables est probablement beaucoup plus élevé. "Si vous recherchez un numéro de pièce sur eBay, vous le trouverez", a-t-il expliqué. "Si l'utilisateur précédent ne l'a pas supprimé, sa base de données de contacts sera toujours là."

Volkswagen a corrigé les vulnérabilités après qu'elles ont été signalées via le programme de divulgation de cybersécurité de l'entreprise ;

Le porte-parole de Skoda, Tom Drechsler, a déclaré dans un communiqué envoyé par courrier électronique : "Les vulnérabilités signalées dans le système d'infodivertissement ont été et sont en cours de traitement et d'élimination grâce à une gestion d'amélioration continue du cycle de vie du produit. À aucun moment il n'y a eu de menace pour la sécurité des clients ou des véhicules."