DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Un homme dans la trentaine, vêtu d'une chemise en lin blanche et d'un pantalon beige, marche sur un trottoir parisien devant des bâtiments haussmanniens et une terrasse de café ensoleillée. Il porte des lunettes de soleil connectées noires, identifiables comme des Ray-Ban Meta. La lumière du soleil couchant éclaire la scène, et l'arrière-plan est légèrement flou, montrant des arbres et des voitures.
    Les lunettes connectées bousculent la protection des données
  • Illustration symbolisant le cyberespionnage russe et la réplique par des sanctions de l'Europe : une silhouette sombre de hacker encapuchonné se superpose en transparence sur le drapeau de la Russie, avec des lignes de code informatique affichées à l'écran et le logo dcod.ch en bas à droite.
    Cyberespionnage russe : l’Europe réplique par des sanctions
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 14 actus clés du 15 juillet 2026
  • Page de garde du Rapport annuel consolidé 2025 de l'ENISA à côté d'une carte en relief illustrant comment l'Europe s'unit, avec le logo de DCOD.
    Rapport annuel consolidé 2025 de l’ENISA : l’Europe s’unit
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 15 incidents majeurs du 14 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités

Vulnérabilité critique dans Subaru Starlink : des millions de véhicules menacés

  • Marc Barbezat
  • 30 janvier 2025
  • 3 minutes de lecture
subaru
▾ Sommaire
Une découverte critique dans les systèmes connectés de SubaruAccès aux véhicules et fuite massive de donnéesUne faille dans les portails administratifsRéaction rapide, mais leçon à retenirPour en savoir plus(Re)découvrez également:
Une vulnérabilité critique a été découverte dans Subaru Starlink, permettant le contrôle à distance de millions de véhicules.

Une découverte critique dans les systèmes connectés de Subaru

En novembre 2024, Sam Curry, un chercheur en cybersécurité, accompagné de son équipe, a mis au jour une vulnérabilité critique dans le service connecté Subaru Starlink. Cette faille, touchant des millions de véhicules, permettait à des attaquants de prendre le contrôle à distance des voitures et d’accéder à une mine d’informations personnelles et sensibles des utilisateurs.

Le problème résidait dans la manière dont le système gérait les identifiants des utilisateurs et des employés. Un attaquant pouvait, avec des informations aussi banales qu’une plaque d’immatriculation, le nom ou le code postal d’un utilisateur, accéder à son compte Starlink et, ainsi, à son véhicule. Cette vulnérabilité illustre une fois de plus les enjeux de sécurité dans les systèmes de connectivité des véhicules modernes.

Accès aux véhicules et fuite massive de données

L’exploitation de cette faille ouvrait un éventail préoccupant de possibilités malveillantes. Non seulement un attaquant pouvait verrouiller, déverrouiller, localiser ou démarrer un véhicule Subaru à distance, mais il pouvait aussi consulter une année complète de données de localisation d’une voiture avec une précision de 5 mètres.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

En parallèle, les informations personnelles identifiables des clients, comme leurs adresses physiques, numéros de téléphone, contacts d’urgence ou même des fragments d’informations de facturation, étaient également accessibles. Cette combinaison de contrôle à distance et de fuite de données représentait un danger évident pour la vie privée et la sécurité physique des utilisateurs.

Une faille dans les portails administratifs

L’origine du problème était un bug dans le portail interne utilisé par Subaru pour la gestion de son service Starlink. Une API non sécurisée permettait aux employés de réinitialiser leurs mots de passe en ne s’appuyant que sur leur adresse e-mail, sans authentification supplémentaire.

Une fois ce processus compromis, un attaquant pouvait contourner les systèmes d’authentification, y compris la double authentification, pour accéder aux comptes administratifs et exploiter les fonctionnalités de contrôle des véhicules. Cette démonstration souligne la vulnérabilité des systèmes internes mal sécurisés, souvent ignorés dans les audits classiques.

Réaction rapide, mais leçon à retenir

Subaru a été prompt à réagir. Moins de 24 heures après la notification des chercheurs, l’entreprise a corrigé la faille et assuré que, à sa connaissance, aucun exploit malveillant n’avait eu lieu avant cette intervention.

Toutefois, cet incident illustre la nécessité pour les constructeurs automobiles et les fournisseurs de services connectés d’intégrer des pratiques de cybersécurité rigoureuses dès la conception de leurs systèmes.

Pour en savoir plus

Piratage de Subaru : suivi et contrôle des voitures via le panneau d’administration STARLINK

Le 20 novembre 2024, Shubham Shah et moi avons découvert une vulnérabilité de sécurité dans le service de véhicule connecté STARLINK de Subaru qui nous a donné un accès ciblé illimité à tous les véhicules et comptes clients aux États-Unis, au Canada et au Japon.

Lire la suite sur samcurry.net
Piratage de Subaru : suivi et contrôle des voitures via le panneau d'administration STARLINK

La sécurité défaillante de Subaru a laissé des trésors de données de véhicules facilement accessibles

Subaru a laissé ouverte une faille de sécurité béante qui, bien que corrigée, met en évidence les innombrables problèmes de confidentialité des véhicules modernes. Les chercheurs en sécurité Sam Curry et Shubham Shah ont rapporté leurs découvertes (via Wired) sur un portail Web d’employés facilement piratable. Après avoir obtenu l’accès, ils…

Lire la suite sur Engadget
La sécurité défaillante de Subaru a laissé des trésors de données de véhicules facilement accessibles

Des millions de Subaru pourraient être déverrouillées et suivies à distance en raison de failles de sécurité

Il y a environ un an, le chercheur en sécurité Sam Curry a acheté une Subaru à sa mère, à condition qu’elle le laisse la pirater dans un futur proche. Curry a attendu jusqu’en novembre dernier, alors qu’il était à la maison pour…

Lire la suite sur Ars Technica
Des millions de Subaru pourraient être déverrouillées et suivies à distance en raison de failles de sécurité

(Re)découvrez également:

Toujours aussi facile de hacker une Tesla malgré sa nouvelle technologie sans clé

Une ancienne technique de vol de voiture, l’« attaque par relais », reste efficace même contre les systèmes d’entrée sans clé plus récents, comme ceux de la Tesla Model 3.

Lire la suite sur dcod.ch
Toujours aussi facile de hacker une Tesla malgré sa nouvelle technologie sans clé

La Tesla Model 3 piratée en moins de 2 minutes lors du dernier concours Pwn2Own

Des chercheurs ont démontré deux exploits distincts contre la Tesla Model 3 la semaine passée lors du concours de piratage Pwn2Own à Vancouver

Lire la suite sur dcod.ch
La Tesla Model 3 piratée en moins de 2 minutes lors du dernier concours Pwn2Own

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • Subaru
  • voiture connectée
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois