Sécurité

Les nouvelles plaques d’immatriculation numériques de Californie se font pirater

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

À la fin de l’année dernière, la Californie n’est devenue que le troisième État des États-Unis à autoriser les plaques d’immatriculation numériques. Les assiettes personnalisables fantaisie ne sont disponibles qu’auprès d’une société appelée Reviver, qui facture aux utilisateurs 20 à 25 dollars par mois. À l’époque, Reviver a juré que le service cloud certifié DMV soutenant les plaques était entièrement sécurisé, mais maintenant nous savons différemment. Une équipe de chercheurs en sécurité piratant dans l’industrie automobile a pu accéder facilement au système de Reviver, révélant la position GPS en temps réel de tous les véhicules.

Selon le spécialiste de la sécurité Sam Curry, il s’est intéressé à Reviver car la nature de son produit signifiait qu’il disposait de données de localisation sur tous les abonnés. Les plaques d’immatriculation numériques sont disponibles en versions filaire et sans fil, toutes deux équipées d’une radio LTE basse consommation pour rester connectées aux serveurs de l’entreprise. C’est ainsi que les utilisateurs peuvent modifier le texte personnalisé de leur plaque ou marquer le véhicule comme volé.

Les chercheurs ont commencé par analyser le trafic HTTP pour voir où le trafic API était acheminé. Après avoir créé un compte Reviver, l’équipe a découvert que son nouvel utilisateur s’était vu attribuer un objet JSON unique qui le marquait comme un compte « CONSOMMATEUR ». L’application ne permettait pas de modifier le champ de type, mais il s’avère que le site Web permettait de modifier les types de compte via JavaScript.

Dans un premier temps, ils n’ont réussi qu’à passer à un compte « CORPORATE », qui permettrait de gérer une flotte de véhicules. Après quelques essais et erreurs, les chercheurs ont découvert le type de compte « REVIVER_ROLE ». Après avoir mis à jour le compte de test, ils ont constaté que tous les appels d’API, y compris l’emplacement du véhicule et la modification du texte de la plaque, étaient accessibles. Ils pourraient même accéder aux données des concessionnaires comme Mercedes-Benz qui regroupent les plaques Reviver, leur permettant de modifier l’image par défaut sur les plaques du concessionnaire.

À ce stade, l’équipe a révélé la faille de sécurité à Reviver, qui, à son crédit, a corrigé le problème en 24 heures. Reviver a publié une déclaration sur l’incident, affirmant qu’il avait enquêté et confirmé qu’aucun tiers n’avait utilisé la vulnérabilité pour voler les données des utilisateurs. Pourtant, la facilité relative avec laquelle une poignée de chercheurs en sécurité ont pu complètement compromettre les systèmes de l’entreprise pourrait à juste titre rendre les conducteurs réticents à s’inscrire aux nouvelles plaques numériques. Bien sûr, cette faille a été corrigée, mais y en a-t-il d’autres, et cela vaut-il le risque d’avoir une plaque d’immatriculation numérique avec une ligne de texte personnalisée en bas ?

Maintenant lis:

Bouton retour en haut de la page