Navigation
Les derniers articles
Suivez en direct

Vulnérabilité critique dans Subaru Starlink : des millions de véhicules menacés

subaru

Une découverte critique dans les systèmes connectés de Subaru

En novembre 2024, Sam Curry, un chercheur en cybersécurité, accompagné de son équipe, a mis au jour une vulnérabilité critique dans le service connecté Subaru Starlink. Cette faille, touchant des millions de véhicules, permettait à des attaquants de prendre le contrôle à distance des voitures et d’accéder à une mine d’informations personnelles et sensibles des utilisateurs.

Le problème résidait dans la manière dont le système gérait les identifiants des utilisateurs et des employés. Un attaquant pouvait, avec des informations aussi banales qu’une plaque d’immatriculation, le nom ou le code postal d’un utilisateur, accéder à son compte Starlink et, ainsi, à son véhicule. Cette vulnérabilité illustre une fois de plus les enjeux de sécurité dans les systèmes de connectivité des véhicules modernes.

Accès aux véhicules et fuite massive de données

L’exploitation de cette faille ouvrait un éventail préoccupant de possibilités malveillantes. Non seulement un attaquant pouvait verrouiller, déverrouiller, localiser ou démarrer un véhicule Subaru à distance, mais il pouvait aussi consulter une année complète de données de localisation d’une voiture avec une précision de 5 mètres.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

En parallèle, les informations personnelles identifiables des clients, comme leurs adresses physiques, numéros de téléphone, contacts d’urgence ou même des fragments d’informations de facturation, étaient également accessibles. Cette combinaison de contrôle à distance et de fuite de données représentait un danger évident pour la vie privée et la sécurité physique des utilisateurs.

Une faille dans les portails administratifs

L’origine du problème était un bug dans le portail interne utilisé par Subaru pour la gestion de son service Starlink. Une API non sécurisée permettait aux employés de réinitialiser leurs mots de passe en ne s’appuyant que sur leur adresse e-mail, sans authentification supplémentaire.

Une fois ce processus compromis, un attaquant pouvait contourner les systèmes d’authentification, y compris la double authentification, pour accéder aux comptes administratifs et exploiter les fonctionnalités de contrôle des véhicules. Cette démonstration souligne la vulnérabilité des systèmes internes mal sécurisés, souvent ignorés dans les audits classiques.

Réaction rapide, mais leçon à retenir

Subaru a été prompt à réagir. Moins de 24 heures après la notification des chercheurs, l’entreprise a corrigé la faille et assuré que, à sa connaissance, aucun exploit malveillant n’avait eu lieu avant cette intervention.

Toutefois, cet incident illustre la nécessité pour les constructeurs automobiles et les fournisseurs de services connectés d’intégrer des pratiques de cybersécurité rigoureuses dès la conception de leurs systèmes.

Pour en savoir plus

Le 20 novembre 2024, Shubham Shah et moi avons découvert une vulnérabilité de sécurité dans le service de véhicule connecté STARLINK de Subaru qui nous a donné un accès ciblé illimité à tous les véhicules et comptes clients aux États-Unis, au Canada et au Japon.

Lire la suite sur samcurry.net
Piratage de Subaru : suivi et contrôle des voitures via le panneau d'administration STARLINK

La sécurité défaillante de Subaru a laissé des trésors de données de véhicules facilement accessibles

Subaru a laissé ouverte une faille de sécurité béante qui, bien que corrigée, met en évidence les innombrables problèmes de confidentialité des véhicules modernes. Les chercheurs en sécurité Sam Curry et Shubham Shah ont rapporté leurs découvertes (via Wired) sur un portail Web d’employés facilement piratable. Après avoir obtenu l’accès, ils…

Lire la suite sur Engadget
La sécurité défaillante de Subaru a laissé des trésors de données de véhicules facilement accessibles

Des millions de Subaru pourraient être déverrouillées et suivies à distance en raison de failles de sécurité

Il y a environ un an, le chercheur en sécurité Sam Curry a acheté une Subaru à sa mère, à condition qu’elle le laisse la pirater dans un futur proche. Curry a attendu jusqu’en novembre dernier, alors qu’il était à la maison pour…

Lire la suite sur Ars Technica
Des millions de Subaru pourraient être déverrouillées et suivies à distance en raison de failles de sécurité

(Re)découvrez également:

Toujours aussi facile de hacker une Tesla malgré sa nouvelle technologie sans clé

Une ancienne technique de vol de voiture, l’« attaque par relais », reste efficace même contre les systèmes d’entrée sans clé plus récents, comme ceux de la Tesla Model 3.

Lire la suite sur dcod.ch
Toujours aussi facile de hacker une Tesla malgré sa nouvelle technologie sans clé

La Tesla Model 3 piratée en moins de 2 minutes lors du dernier concours Pwn2Own

Des chercheurs ont démontré deux exploits distincts contre la Tesla Model 3 la semaine passée lors du concours de piratage Pwn2Own à Vancouver

Lire la suite sur dcod.ch
La Tesla Model 3 piratée en moins de 2 minutes lors du dernier concours Pwn2Own

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.