BMW corrige une faille de sécurité dans un logiciel qui a rendu 2,2 millions de véhicules vulnérables au piratage

BMW a corrigé une faille dans son logiciel embarqué gérant la communication interne du véhicule qui aurait pu rendre ses 2,2 millions de véhicules, y compris Rolls-Royce, Mini et BMW, vulnérables au piratage

Bavarian Motor Works ou BMW d’Allemagne est considéré comme l’incarnation du luxe et de la performance. Le constructeur automobile basé à Munich, en Bavière, est dans le secteur automobile depuis plus de 70 ans et fabrique des voitures de luxe de haute qualité comme Rolls-Royce, Mini, BMW et des motos pour un marché mondial.

Puisque BMW est considéré comme l’une des voitures les plus sûres que vous puissiez acheter en termes de performance, il a été tenu comme un symbole de fiabilité. Mais l’Allgemeiner Deutscher Automobil-Club (ADAC) pense le contraire. Une équipe de chercheurs de l’ADAC a découvert que les voitures BMW étaient vulnérables au détournement en raison d’une vulnérabilité dans son système sans fil. Les chercheurs de l’ADAC ont découvert que la vulnérabilité de sécurité dans le système ConnectedDrive de BMW pouvait imiter les serveurs BMW et envoyer des instructions de déverrouillage à distance aux véhicules, facilitant ainsi leur vol.

Le problème a été découvert par l’Allgemeiner Deutscher Automobil-Club (ADAC), une association automobile allemande, et a été vérifié sur plusieurs modèles de voitures BMW.

L’attaque a profité d’une fonctionnalité qui permet aux conducteurs qui ont été enfermés hors de leurs véhicules de demander le déverrouillage à distance de leur voiture via une ligne d’assistance BMW.

Lors des tests logiciels de l’ADAC, il a été constaté qu’une faille dans le logiciel pouvait permettre aux voleurs d’ouvrir les portes / fenêtres de la voiture après avoir piraté les données transmises depuis le réseau de la voiture en utilisant une station de base de téléphone portable réplique. Bien qu’il y ait un risque de violation de la sécurité pendant la transmission des données, la faille n’allait pas impacter des fonctions comme la direction, le freinage ou le démarrage / arrêt du moteur. L’autre véritable problème était que si un hacker réussissait à ouvrir les portes de la voiture, il aurait un accès facile aux fonctions embarquées qui gèrent tout dans la voiture.

Bien que l’ADAC n’ait pas présenté le PoC du piratage, il a mentionné que la faille impliquait la fonctionnalité ConnectedDrive de BMW. BMW propose plusieurs applications pour smartphones, dont au moins une, appelée My BMW Remote aux États-Unis, qui permet au propriétaire de la voiture de verrouiller et déverrouiller le véhicule.

Dave Buchko, un porte-parole de BMW, a déclaré : « Ils ont pu rétroconcevoir une partie du logiciel que nous utilisons pour notre télématique, avec cela, ils ont pu imiter le serveur BMW. » Les filiales de BMW, Rolls-Royce et Mini, utilisent également ConnectedDrive. La vulnérabilité de piratage aurait pu mettre en danger environ 2,2 millions de voitures dans le monde.

BMW a corrigé hier la faille de sécurité qui aurait pu causer plusieurs vols de voitures si elle était restée intacte. Les constructeurs automobiles allemands affirment qu’aucun cas impliquant la méthode PoC de l’ADAC n’est parvenu à leur connaissance, ni aucune voiture n’a été compromise en raison de la faille ci-dessus. Cependant, ils ont déclaré avoir corrigé la faille. Depuis hier, la communication interne sera désormais cryptée à l’aide du protocole de transfert hypertexte sécurisé (HTTPS), qui est également utilisé pour garantir des transactions financières sûres.

BMW a en outre déclaré que ses clients n’avaient pas à s’inquiéter de la faille ou à prendre des mesures, leurs ingénieurs ayant publié une mise à jour automatique qui corrigera la faille dès que le véhicule se connectera au serveur de l’entreprise.