Des vulnérabilités critiques identifiées sur des millions de véhicules Kia

Quatre chercheurs en cybersécurité ont publié, le 20 septembre 2024, un rapport sur des vulnérabilités critiques qui auraient pu conduire au piratage de millions de véhicules Kia. Sam Curry, Neiko Rivera, Justin Rhinehart et Ian Carroll ont en effet identifié plusieurs failles sur un site Internet destiné aux possesseurs de véhicules du constructeur coréen.

En exploitant ces vulnérabilités, les quatre chercheurs ont réussi à compromettre l’infrastructure du site, et obtenir un jeton d’authentification frauduleux. « La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule. Nous avons pu nous authentifier sur le portail du concessionnaire à l’aide de nos identifiants habituels », écrivent-ils.

Cet accès aurait pu permettre à un cybercriminel de remplacer l’e-mail du client et de devenir, aux yeux de Kia, le propriétaire légitime de la voiture. Il n’aurait alors eu qu’à indiquer le numéro d’immatriculation du véhicule pour en prendre le contrôle. Plusieurs fonctionnalités critiques auraient alors été disponibles : le déverrouillage, le démarrage ou le suivi du véhicule.

Les chercheurs ont signalé les failles à Kia le 11 juin 2024, le constructeur a publié un correctif mi-août 2024. Kia a déclaré n’avoir détecté aucune exploitation de ces vulnérabilités ayant conduit à une prise de contrôle d’un véhicule.