Plusieurs failles critiques ont été découvertes sur un site web destiné aux propriétaires de véhicules Kia. Elles ont été repérées par des chercheurs en cybersécurité. Ces vulnérabilités auraient pu offrir à des pirates informatiques l’opportunité d’en prendre le contrôle, par exemple : en les démarrant et en les suivant à distance ou en les déverrouillant. Ils auraient pu prendre le contrôle de ces véhicules, à partir d’une simple plaque d’immatriculation et en moins de 30 secondes.
Dans leur rapport, les chercheurs Sam Curry, Justin Rhinehard, Ian Carrol, et Neiko Rivera, indiquent que ces faiblesses concernent « la quasi-totalité des véhicules Kia construits après 2013 », que leur propriétaire soit ou non abonné à Kia Connect, un outil. Pour rappel, cet outil permet de connecter une Kia à un smartphone et offre plusieurs fonctionnalités. Leur rapport a été consulté par le média Usine-digitale.
Afin de parvenir à s’infiltrer dans les systèmes internes du constructeur asiatique, les chercheurs ont juste eu besoin de se créer un compte dans une infrastructure dédiée aux concessionnaires. Puis, une fois l’authentification réussie, ils ont pu générer un jeton d’accès, avec quelques requêtes http, en appelant les API back-end du concessionnaire « véridique ».
Lire aussi : Responsables de la cybersécurité : un métier stratégique en quête de reconnaissance
Kia publie un correctif
Dans leur rapport, les chercheurs expliquent : « La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule, expliquent les chercheurs. Nous avons pu nous authentifier sur le portail du concessionnaire à l’aide de nos identifiants habituels (…). Cela signifie que nous pouvions théoriquement atteindre tous les autres endpoints du concessionnaire ». L’utilisateur malveillant avait alors juste à changer l’adresse mail du propriétaire légitime pour s’enregistrer comme nouveau propriétaire, à son insu. Et la personne ciblée ne recevait aucune notification lui indiquant que ses données personnelles avaient été modifiées.
À partir de ce constat, les chercheurs ont démontré comment il était possible pour des cybercriminels de prendre le contrôle d’une voiture, uniquement à partir du numéro d’identification du véhicule (VIN).
Ces vulnérabilités ont été transmises à Kia le 11 juin 2024. Mi-aout, le géant sud-coréen a publié un correctif, indiquant que l’outil n’avait pas été exploité par les hackers.
