Révolutionner le vol de voiture : jusqu'à récemment, il était possible de pirater n'importe quel modèle Kia à l'aide d'un smartphone

Les chercheurs en sécurité ont découvert des vulnérabilités critiques dans un portail de concessionnaires Kia qui permettent aux attaquants de voler des voitures de manière transparente.

Les problèmes identifiés permettent de pirater n'importe quel modèle de la marque sud-coréenne fabriqué après 2013 en utilisant uniquement son numéro de plaque d'immatriculation.

Les chercheurs en sécurité ont identifié pour la première fois de graves failles dans les systèmes numériques de plus de 10 marques automobiles en 2022. À l’époque, les vulnérabilités permettaient aux attaquants de détecter, verrouiller, déverrouiller et même démarrer à distance les moteurs de plus de 15 millions de voitures de marques haut de gamme. Ferrari, BMW, Rolls-Royce et Porsche.

Dans ce cas, il s'agit d'un hack du portail Kia Connect, ouvert le 11 juin de cette année, qui permettait d'accéder à la gestion de toute voiture Kia équipée d'équipements à distance, même si elle ne dispose pas d'un abonnement Kia Connect activé.

Les vulnérabilités ont également exposé les informations personnelles des propriétaires de voitures, notamment leur nom, leur numéro de téléphone, leur adresse électronique et leur adresse physique. Les attaquants peuvent également s'ajouter au système en tant que deuxième utilisateur à l'insu du propriétaire.

Pour illustrer le problème, l'équipe de recherche a créé un outil qui, en utilisant uniquement le numéro de plaque d'immatriculation, permet d'ajouter des voitures à un « garage virtuel », puis de les verrouiller, déverrouiller, démarrer ou arrêter à distance, d'émettre un bip ou de localiser la voiture sur une carte. .

En se connectant au portail des concessionnaires Kia, les chercheurs ont enregistré un compte unique et généré un code d'accès valide. Ce code permet d'utiliser l'API back-end du concessionnaire, fournissant des informations importantes sur le propriétaire du véhicule et un contrôle total de ses fonctions à distance, notamment :

• Générez un jeton marchand et extrayez-le de la réponse HTTP ;
• Accès à l'adresse e-mail et au numéro de téléphone du propriétaire du véhicule ;
• Modifier les droits d'accès à l'aide des données reçues ;
• Ajoutez votre adresse e-mail à votre compte voiture pour le contrôler à distance.

En raison des violations identifiées, un accès non autorisé au véhicule pourrait se produire secrètement, sans que son propriétaire ne reçoive ni notification de l'attaque de piratage, ni notification de modification des droits d'accès.

La bonne nouvelle est que toutes les vulnérabilités ont désormais été corrigées. Selon les chercheurs, l'outil démontrant le piratage n'a jamais été publié en ligne et l'équipe Kia a confirmé que les failles découvertes n'étaient pas utilisées à des fins malveillantes.