Un spécialiste de la cybersécurité a découvert une grosse faille de sécurité sur la Nissan Leaf qui permettrait de prendre le contrôle de certaines fonctionnalités grâce à une simple connexion internet. Une information confirmée par le constructeur qui travaille à un correctif.
Alors que Nissan expose actuellement sa berline électrique au Mobile World Congress, la grande messe des objets connectés qui a lieu chaque année à Barcelone, la nouvelle ne pouvait sans doute pas tomber plus mal ! Troy Hunt, un spécialiste de la cybersécurité, vient de rendre publique l’existence d’une faille importante sur l’application NissanConnect EV de la berline électrique du constructeur japonais.
Prise de contrôle des fonctionnalités à distance
Pour prendre le contrôle du véhicule, il suffit au hackeur de récupérer le numéro d’identifiant du véhicule, visible de l’extérieur, pour ensuite prendre le contrôle depuis l’application ou même un navigateur web.
Limitées mais existantes, les possibilités de contrôle comprennent le réglage du chauffage ou de la climatisation et l’accès à l’historique du véhicule. Une intrusion qui ne semble fonctionner qu’à condition que le véhicule soit à l’arrêt et qui ne touche des fonctionnalités de sécurité essentielles comme l’accélérateur ou le freinage.
La vidéo ci-dessous démontre le fonctionnement du système, Troy Hunt validant la faille avec un propriétaire de Nissan Leaf.
Mesures préventives
Automobile-Propre a pu s’entretenir avec les équipes de Nissan France qui nous ont confirmé l’information avec la décision, dès cette nuit, de bloquer l’accès à distance à tous les utilisateurs.
« Nos équipes travaillent sur un correctif. En attendant, nous avons coupé l’ensemble des systèmes d’accès à distance de la Leaf. Les propriétaires de Nissan Leaf peuvent tout de même continuer à contrôler l’ensemble des fonctionnalités du véhicule une fois à bord » nous précise Grégory Neve, Directeur Communication de Nissan France.
Si Nissan n’a pas annoncé de délai pour la correction et la remise en route du système, Troy Hunt estime que la solution ne sera pas facile à trouver. « Ce n’est pas qu’ils [les équipes Nissan] n’ont pas réalisé correctement les protocoles d’autorisation, c’est qu’ils ne l’ont pas fait du tout ».
Nissan n’est cependant pas le seul constructeur à connaitre ce genre de déboires. Il y a quelques mois, Jeep avait du lancer une vaste campagne de rappel de ses véhicules en raison d’une faille de sécurité susceptible de permettre aux hackeurs de prendre le contrôle du véhicule en coupant l’accélérateur ou en freinant en route.
—
J’ai reçu ce message de Nissan, résumant la position officielle de la marque :
[NissanConnect EV] L’application NissanConnect EV est actuellement indisponible. Suite aux révélations d’un technicien informatique indépendant suivie d’une enquête interne menée par Nissan, un dysfonctionnement concernant le serveur dédié à l’application a été identifié. Il permettrait juste d’intervenir à distance sur la température du véhicule ainsi que sur d’autres fonctions de confort et d’information par une voie non-sécurisée.
Aucun autre élément important lié à la conduite de la Nissan LEAF et du Nissan eNV200 n’est affecté. Par conséquent, les propriétaires peuvent continuer à utiliser leurs voitures en toute sécurité en réglant la température depuis l’intérieur de l’habitacle. Nous vous prions d’accepter nos excuses pour le désagrément occasionné. La qualité et le fonctionnement sans faille de nos voitures et services est primordiale. Nos équipes font le nécessaire afin de lancer les mises à jour sécurisées de l’application dans les plus brefs délais.
Le mienne est commandée aujourd’hui !
D’ici à ce qu’elle arrive ça sera bien corrigé ! (?)
Oui Triphase,
Vous mettez le doigt sur LE problème de notre civilisation, l’hyper-connectivité … à la connerie ! Moi non plus, je n’aime pas tous ces moyens « Big-Brother » de savoir ce que vous faites, ce que vous achetez, ce que vous écoutez. Même pour faire les courses ou mettre de l’essence, j’évite la carte bleue le plus possible, c’est pour dire. Alors, imaginez ce que j’en pense de ces voitures hyper-connectées … Merci donc aux Hackers (gentils) de montrer l’aberration du tout connecté !
§
Un rancomware…hahahah
donne moi 10 00€ ou je mets ta clim a 0° …hahhaah
Vous avez tous la frénésie de la voiture « connectée »? bienvenue dans le système windaube. Depuis 10 versions on connaît la chanson. Chaque faille est comblée par une nouvelle.
Et tout le reste, ios, andro et compagnie, c’est un peu pareil.
La seule connexion utile est celle au réseau 230V pour le chargeur…. :-)
Pour vivre heureux, vivons cachés!
Les constructeurs traditionnels ne sont plus dans leurs domaines de compétences (ni celui de leurs fournisseurs) et on peut s’attendre à de nombreux autres cas dans le même style.
Après tout, un Ghosn n’as pas été l’un des co-fondateurs de l’un des systèmes de payements qui révolutionne le monde bancaire …..
Sinon je suis pleinement d’accord avec les commentaires, cela relève de la faute grave de la part de Nissan.
Dans l’appli EV Connect on me demande un login et un mot de passe. Et pour rattacher mon VIN à un compte sur le site Nissan, ça ma pris plusieurs semaines plus un passage en concession.
Si après le login, seul le VIN est transmis au serveur avec les ordres, alors oui on peut hacker. Mais ce n’est quand même pas à la portée de tout le monde. Ou bien, j’ai raté quelque chose?
EDIT** j’aurai du aller jusqu’à la fin de la vidéo. Avec un navigateur c’est quand même simple. Pas top sur ce coup la, Nissan.
Franchement j’ai beaucoup de mal à comprendre comment une omission de ce type est possible… espérons que ça fasse réagir Nissan et qu’ils se donnent vraiment les moyens de faire une application digne de ce nom pour la LEAF, qui le mérite.
Ce type de faille est un classique de tout système informatique. Le scandale c’est de ne pas l’avoir anticipé un minimum !! Le second scandale va être le temps mis par Nissan pour régler le pb, et pire, la nécessité de rappel des véhicules, car bien sûr ils ne sont pas en mesure de faire de mises à jours OTA !! Quand on voit que les livraisons du modèle 2016 ont été bloqué pendant 1 mois entier … ça commence à faire amateur là …
Si il n’y avait pas d’authentification fiable, ce n’est pas une faille, c’est une faute. Après des failles (des vrais) on en découvre tous les jours, c’est pourquoi dès qu’un équipement est connecté il doit avoir la capacité de se mettre à jour tout seul, avec des vérifications quotidiennes, une mise à jour du logiciel de la voiture seulement en concession à l’occasion des révisions est inconcevable. Pourtant tout informaticien sait ça : si une machine n’est pas à jour des mises à jour de sécurité elle n’a rien à faire en ligne !