Des chercheurs en sécurité ont montré que des cybercriminels auraient pu, en les exploitant, prendre le contrôle d’un véhicule à distance.

Quatre chercheurs en cybersécurité ont publié, le 20 septembre 2024, un rapport sur des vulnérabilités critiques qui auraient pu conduire au piratage de millions de véhicules Kia. Sam Curry, Neiko Rivera, Justin Rhinehart et Ian Carroll ont en effet identifié plusieurs failles sur un site Internet destiné aux possesseurs de véhicules du constructeur coréen.

En exploitant ces vulnérabilités, les quatre chercheurs ont réussi à compromettre l’infrastructure du site, et obtenir un jeton d’authentification frauduleux. « La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule. Nous avons pu nous authentifier sur le portail du concessionnaire à l’aide de nos identifiants habituels », écrivent-ils.

Cet accès aurait pu permettre à un cybercriminel de remplacer l’e-mail du client et de devenir, aux yeux de Kia, le propriétaire légitime de la voiture. Il n’aurait alors eu qu’à indiquer le numéro d’immatriculation du véhicule pour en prendre le contrôle. Plusieurs fonctionnalités critiques auraient alors été disponibles : le déverrouillage, le démarrage ou le suivi du véhicule.

Les chercheurs ont signalé les failles à Kia le 11 juin 2024, le constructeur a publié un correctif mi-août 2024. Kia a déclaré n’avoir détecté aucune exploitation de ces vulnérabilités ayant conduit à une prise de contrôle d’un véhicule.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.