Démarrer une Kia, la faire klaxonner ou l’ouvrir, à distance, c’est ce que sont parvenus à réaliser des chercheurs en cybersécurité. Ils se sont appuyés sur une vulnérabilité d’un site portail du constructeur. Une méthode déjà éprouvée et qui semble perdurer.

au sommaire

    Pirater une TeslaTesla ou n'importe quelle autre voiture connectée n'est pas une nouveauté. Mais généralement, le piratage concerne essentiellement les systèmes connectés à Internet et cela n'a pas vraiment de conséquences sur la prise de contrôle totale du véhicule lors de la conduite. Si certaines tentatives ont toutefois été fructueuses, il a fallu beaucoup de temps et de travaux en rétro-ingénierie pour y parvenir. Et puis, les constructeurs dont les failles ont été percées ont depuis corrigé le tir... ou presque.

    Futura avait expliqué comment les hackers avaient pu pirater à distance des véhicules des marques Ferrari, BMW, Rolls Royce, Mercedes-Benz, ou Porsche en raison des portails web dédiés aux relations avec les clients. Aujourd'hui, c'est encore grâce à une brèche dans un portail du constructeur Kia que des chercheurs en cybersécurité sont parvenus à suivre des millions de véhicules de la marque. Ils ont également pu activer à distance le déverrouillage des portesportes et même démarrer les moteurs. Plus précisément, grâce à la vulnérabilité, les fonctionnalités de prise de contrôle à distance disponibles sur l'applicationapplication Kia pour smartphone du propriétaire d'un véhicule, ont été réattribuées aux chercheurs. 

    Avec son application « maison », Sam Curry montre comment il peut contrôler à distance pratiquement tous les véhicules de la marque Kia commercialisés depuis 2013. © Sam Curry

    Un air de déjà-vu

    C'est à partir de la seule plaque d'immatriculation d'une Kia que, grâce à leur propre application personnalisée, les chercheurs ont pu réaliser cette prise de contrôle à distance. Ils pouvaient ainsi localiser le véhicule, le déverrouiller, démarrer le moteur ou encore le faire klaxonner. Les chercheurs ont pris soin d'alerter Kia sur cette faille en juin et depuis, la marque semble l'avoir colmatée. Mais ce n'est pas la première fois que cette manipulation fonctionne. Comme Futura l'avait relaté, cette vulnérabilité était déjà présente début 2023 chez de nombreuses marques. L'affaire avait été révélée par Sam Curry, un expert en sécurité et c'est encore lui qui vient de confirmer que cette faille perdure autour des portails web des constructeurs.

    Alors, comme toujours, il n'est pas possible d'accéder aux systèmes de conduite critiques, comme, par exemple, agir sur les freins ou la direction. En revanche, ce type de procédé pourrait être employé pour voler ou immobiliser des voitures ciblées, ou encore exercer du chantage au propriétaire d'une auto. En effet, la faille du portail web permettait également de disposer des informations personnelles des clients, de leur adresse e-mail, leur numéro de téléphone, leur adresse et même l'historique de leurs déplacements. Au final, cette récidiverécidive montre encore une fois que la cybersécurité reste le maillon faible de l'industrie automobileautomobile.