Chrysler rappelle environ 1,4 million de voitures

Chrysler a publié une mise à jour logicielle urgente pour un certain nombre de ses voitures (Dodge, Jeep, Ram et Chrysler), apprenant que deux pirates ont pu prendre le contrôle de la jeep Cherokee à une distance de plusieurs kilomètres et s'y écraser sur un fossé.

Les experts craignent que de telles cyberattaques présentent un risque potentiel de mort ou de blessure pour le conducteur et les passagers, et provoquent également le chaos sur les routes.

Chrysler encourage les propriétaires de voitures rappelables à contacter la société pour les mises à jour logicielles.

Les propriétaires n'auront pas besoin de visiter le concessionnaire comme c'est le cas avec la procédure de rappel normale. Au lieu de cela, ils recevront une clé USB avec laquelle, une fois connecté à la voiture, un patch sera téléchargé pour corriger les erreurs de protection.

Le piratage est devenu connu grâce à un article du magazine Wired . Deux hackers professionnels, dont l'un travaillait auparavant pour la National Security Agency, ont démontré la possibilité d'intercepter le contrôle des voitures. Le mois prochain, ils prévoient de dévoiler certaines de leurs astuces lors de la Black Hat Security Conference à Las Vegas.

Les experts en cybersécurité ont précédemment averti que l'industrie automobile pourrait par inadvertance créer une opportunité pour les pirates d'interférer avec le fonctionnement des automobiles. Il s'agit de points d'entrée tels qu'un port OBD de diagnostic, ainsi que d'une liste croissante de points d'entrée sans fil: de la surveillance obligatoire de la pression des pneus aux technologies d'infodivertissement utilisant la 4G LTE.

Le dernier chemin a été utilisé par les pirates Charlie Miller et Chris Valasek pour exploiter la vulnérabilité du Jeep Cherokee 2014 équipé du système FCA Uconnectqui accède au réseau Sprint. Les pirates étaient à quelques kilomètres de la voiture, dans laquelle ils ont réussi à ouvrir l'accès aux systèmes de contrôle critiques. Les pirates ont utilisé un téléphone Android Kyocera bon marché connecté à un MacBook pour rechercher des cibles en 3G. Ils ont reçu les coordonnées GPS, le numéro d'identification, le modèle, la date de sortie et l'adresse IP des voitures dans la zone la plus proche.

Quand ils ont trouvé le bogue dans UConnect pour la première fois, ils ont supposé qu'il ne fonctionnerait que dans un rayon de 100 mètres - dans les limites du WiFi direct. Lorsqu'ils ont découvert un bug dans l'implémentation mobile d'UConnect au début de cet été, ils ont supposé que cela permettrait d'attaquer des voitures dans la même station de communication cellulaire. Mais très vite, ils ont découvert que la distance à attaquer n'a pas de limite - vous pouvez pirater une voiture partout où il y a Internet, à n'importe quelle distance.

Ils ont pris le contrôle de l'essuie-glace et de la pompe de lave-glace, ont coupé le moteur pendant la conduite sur l'autoroute, ont pris le contrôle du volant, ont coupé les freins et ont envoyé la voiture avec le volontaire à l'intérieur de l'autoroute vers le fossé.

Les pirates ont contacté le constructeur automobile et signalé une vulnérabilité découverte.

Le constructeur automobile s'est dit inquiet que les pirates envisagent de publier une partie de leur code lors d'une conférence de pirates. Chrysler insiste sur le fait que cela est dangereux même après la mise à jour du logiciel de voiture. De plus, selon les statistiques, lors du rappel de voitures, même avec des défauts de sécurité potentiellement mortels, seuls 70 à 8 pour cent [ 1 ] des propriétaires s'embarrassent de la procédure de rappel et autorisent la réparation de leurs voitures.

Source: https://habr.com/ru/post/fr382115/