adimas - Fotolia

Nissan ignore des règles de sécurité de base avec l’application de sa Leaf

Un chercheur a montré comment il est possible de détourner les systèmes de chauffage et de climatisation de la voiture électrique, mais également d’en identifier les propriétaires et surveiller leurs déplacements.

L’exemple de la Jeep Cherokee contrôlée à distance n’avait pas suffi. Nissan semble ainsi avoir oublié de prendre des mesures de sécurisation de sa voiture électrique Leaf au point qu’il soit possible de la pirater à partir d’un simple navigateur Web.

Le chercheur australien Toy Hunt a en effet démontré qu’il est possible de détourner les systèmes de chauffage et de climatisation de la voiture, d’en identifier les propriétaires, ou encore d’espionner leurs déplacements.

De fait, ses travaux montrent que l’application Nissan Connect n’a besoin que du numéro d’identification du véhicule (VIN) : toute personne connaissant ce VIN ou disposant d’une liste d’entre eux peut donc potentiellement détourner certains systèmes de Leaf. Surtout, le VIN est généralement lisible au travers du pare-brise de la voiture.

L’absence de mécanisme d’authentification peut donc permettre à quelqu’un de malveillant de vider les batteries de la voiture et d’enfreindre la vie privée de ses propriétaires. Selon Nissan, qui a été prévenu fin janvier et a accusé réception des informations, il n’y a pas là de risque de sécurité. Pendant un mois, le constructeur n’a pas produit de résultats concrets et a même demandé quelques semaines supplémentaires à Troy Hunt avant qu’il ne publie ses conclusions.

Mais le délai déjà accordé et les vives discussions publiques, déjà engagées sur certains forums en ligne, ont conduit Troy Hunt à décider de rendre publiques ces découvertes. Sous la pression médiatique, Nissan a décidé de suspendre son application mobile.

Pour le chercheur, si effectivement aucun organe critique du véhicule n’est concerné – pour la sécurité des passagers, s’entend ; pouvoir vider à distances les batteries d’une voiture électrique n’en est pas moins clé… –, pour Troy Hunt, c’est la trivialité d’accès à certains contrôles du véhicule qui est grave : « alors que les constructeurs automobiles courent pour se joindre à la grand messe de l’Internet des objets, la sécurité ne peut pas être pensée après coup, ni dont ils nous disent qu’ils la prennent au sérieux après ne pas l’avoir prise suffisamment au sérieux au début ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close