Une vulnérabilité critique a été découverte dans Subaru Starlink, permettant le contrôle à distance de millions de véhicules.
Une découverte critique dans les systèmes connectés de Subaru
En novembre 2024, Sam Curry, un chercheur en cybersécurité, accompagné de son équipe, a mis au jour une vulnérabilité critique dans le service connecté Subaru Starlink. Cette faille, touchant des millions de véhicules, permettait à des attaquants de prendre le contrôle à distance des voitures et d’accéder à une mine d’informations personnelles et sensibles des utilisateurs.
Le problème résidait dans la manière dont le système gérait les identifiants des utilisateurs et des employés. Un attaquant pouvait, avec des informations aussi banales qu’une plaque d’immatriculation, le nom ou le code postal d’un utilisateur, accéder à son compte Starlink et, ainsi, à son véhicule. Cette vulnérabilité illustre une fois de plus les enjeux de sécurité dans les systèmes de connectivité des véhicules modernes.
Accès aux véhicules et fuite massive de données
L’exploitation de cette faille ouvrait un éventail préoccupant de possibilités malveillantes. Non seulement un attaquant pouvait verrouiller, déverrouiller, localiser ou démarrer un véhicule Subaru à distance, mais il pouvait aussi consulter une année complète de données de localisation d’une voiture avec une précision de 5 mètres.
En parallèle, les informations personnelles identifiables des clients, comme leurs adresses physiques, numéros de téléphone, contacts d’urgence ou même des fragments d’informations de facturation, étaient également accessibles. Cette combinaison de contrôle à distance et de fuite de données représentait un danger évident pour la vie privée et la sécurité physique des utilisateurs.
Une faille dans les portails administratifs
L’origine du problème était un bug dans le portail interne utilisé par Subaru pour la gestion de son service Starlink. Une API non sécurisée permettait aux employés de réinitialiser leurs mots de passe en ne s’appuyant que sur leur adresse e-mail, sans authentification supplémentaire.
Une fois ce processus compromis, un attaquant pouvait contourner les systèmes d’authentification, y compris la double authentification, pour accéder aux comptes administratifs et exploiter les fonctionnalités de contrôle des véhicules. Cette démonstration souligne la vulnérabilité des systèmes internes mal sécurisés, souvent ignorés dans les audits classiques.
Réaction rapide, mais leçon à retenir
Subaru a été prompt à réagir. Moins de 24 heures après la notification des chercheurs, l’entreprise a corrigé la faille et assuré que, à sa connaissance, aucun exploit malveillant n’avait eu lieu avant cette intervention.
Toutefois, cet incident illustre la nécessité pour les constructeurs automobiles et les fournisseurs de services connectés d’intégrer des pratiques de cybersécurité rigoureuses dès la conception de leurs systèmes.
Pour en savoir plus
Piratage de Subaru : suivi et contrôle des voitures via le panneau d’administration STARLINK
Le 20 novembre 2024, Shubham Shah et moi avons découvert une vulnérabilité de sécurité dans le service de véhicule connecté STARLINK de Subaru qui nous a donné un accès ciblé illimité à tous les véhicules et comptes clients aux États-Unis, au Canada et au Japon.

La sécurité défaillante de Subaru a laissé des trésors de données de véhicules facilement accessibles
Subaru a laissé ouverte une faille de sécurité béante qui, bien que corrigée, met en évidence les innombrables problèmes de confidentialité des véhicules modernes. Les chercheurs en sécurité Sam Curry et Shubham Shah ont rapporté leurs découvertes (via Wired) sur un portail Web d’employés facilement piratable. Après avoir obtenu l’accès, ils…
Des millions de Subaru pourraient être déverrouillées et suivies à distance en raison de failles de sécurité
Il y a environ un an, le chercheur en sécurité Sam Curry a acheté une Subaru à sa mère, à condition qu’elle le laisse la pirater dans un futur proche. Curry a attendu jusqu’en novembre dernier, alors qu’il était à la maison pour…

(Re)découvrez également:
Toujours aussi facile de hacker une Tesla malgré sa nouvelle technologie sans clé
Une ancienne technique de vol de voiture, l’« attaque par relais », reste efficace même contre les systèmes d’entrée sans clé plus récents, comme ceux de la Tesla Model 3.

La Tesla Model 3 piratée en moins de 2 minutes lors du dernier concours Pwn2Own
Des chercheurs ont démontré deux exploits distincts contre la Tesla Model 3 la semaine passée lors du concours de piratage Pwn2Own à Vancouver
