Un mot de passe codé en dur dans une application expose des voitures connectées

Quelle que soit leur marque, les voitures sont désormais équipées de technologies et d’applications que la plupart des conducteurs ne comprennent pas complètement. Enthousiasmés par leur nouvelle voiture connectée, les propriétaires acceptent immédiatement de relier leurs smartphones et leurs comptes personnels à un certain nombre d’applications et d’appareils connectés. Mais le problème est que beaucoup ont des problèmes de sécurité non corrigés.

Selon une alerte de sécurité du Centre de coordination CERT de l’Université Carnegie Mellon, des milliers de voitures ont été rendues vulnérables aux pirates qui cherchaient à manipuler leurs paramètres de connexion, à cause d’une application mobile télématique fonctionnant avec des informations d’identification admin codées en dur.

L’application en question est MyCar Controls, également connue sous les noms de Carlink, Linkr, Visions MyCar ou MyCar Kia, développée par Automobility Distribution Inc. Elle est extrêmement populaire auprès des utilisateurs d’iOS et Android, car elle leur permet d’utiliser leur smartphone pour régler la température. avoir des informations sur l’emplacement du véhicule, ouvrir le coffre, activer ou désactiver l’alarme de sécurité de la voiture ou verrouiller et déverrouiller les portières, et effectuer d’autres petites tâches.

«L’application mobile MyCar Controls contient des identifiants d’administrateur (CWE-798) codés en dur qui peuvent être utilisés à la place du nom d’utilisateur et du mot de passe d’un utilisateur pour communiquer avec le point terminal du serveur pour le compte de l’utilisateur cible», indique le rapport.

Les mots de passe codés en dur ne sont pas chiffrés. C’est précisément pourquoi il s’agissait d’une faille de sécurité critique: elle permettait à des tiers de modifier les paramètres de la voiture ou de voler les données de l’utilisateur à distance. Les cybercriminels pourraient même accéder physiquement à la voiture, ont expliqué les chercheurs. Le problème a été immédiatement corrigé en février et les informations d’identification ont été supprimées.

«Aucun incident réel ni problème de confidentialité ou de fonctionnalité ne nous a été signalé ou n’a été détecté par nos systèmes», a déclaré Automobility Distribution à ZDNet.