La vulnérabilité permet aux pirates de déverrouiller et de démarrer les voitures Honda à distance

La Vulnérabilité Permet Aux Pirates De Déverrouiller Et De Démarrer

WTF ? ! Les chercheurs ont récemment découvert une vulnérabilité qui pourrait permettre aux pirates de déverrouiller et de démarrer plusieurs modèles de véhicules Honda à distance. La liste des modèles concernés identifie 10 des modèles les plus populaires de Honda comme étant vulnérables. Pour aggraver les choses, les découvertes actuelles amènent les chercheurs à croire que la vulnérabilité pourrait être présente sur tous les véhicules Honda de 2012 à 2022.

La faille de sécurité, surnommée RollingPWN par les chercheurs, exploite un composant du système d’entrée sans clé de Honda. Le système d’entrée actuel repose sur un modèle de code tournant qui crée un nouveau code d’entrée chaque fois que les propriétaires appuient sur le bouton fob. Une fois émis, les précédents doivent être rendus inutilisables pour empêcher les attaques par rejeu. Au lieu de cela, les chercheurs Kévin26000 et Wesley Li a découvert que les anciens codes pouvaient être annulés et utilisés pour obtenir un accès indésirable au véhicule.

Les chercheurs ont testé la vulnérabilité sur plusieurs modèles Honda allant de 2012 à 2022. La liste des véhicules d’essai concernés comprend :

  • Honda Civic 2012
  • Honda XR-V 2018
  • Honda CR-V 2020
  • Honda Accord 2020
  • Honda Odyssey 2020
  • Honda Inspire 2021
  • Honda Fit 2022
  • Honda Civic 2022
  • Honda VE-1 2022
  • Honda Breeze 2022

Sur la base de la liste et des tests réussis de l’exploit, Kevin26000 et Li croient fermement que la vulnérabilité pourrait affecter tous les véhicules Honda et pas seulement les dix premiers énumérés ci-dessus.

2022 07 09 image 8

Fournir un correctif pour la vulnérabilité peut être aussi complexe que l’exploit lui-même. Honda pourrait corriger la faille via une mise à jour du micrologiciel en direct (OTA), mais de nombreuses voitures concernées ne fournissent pas de support OTA. Le plus grand nombre de véhicules potentiellement touchés rend un scénario de rappel peu probable.

Pour l’instant, des recherches sont en cours pour déterminer l’étendue de la vulnérabilité. Sur la base de la nature de l’attaque, Kevin26000 et Li soupçonnent fortement que le problème puisse également avoir un impact sur d’autres constructeurs automobiles.

La découverte n’est qu’une vulnérabilité de plus dans une série de vulnérabilités d’accès découvertes dans la gamme de véhicules Honda cette année. En mars, les chercheurs ont identifié un exploit man-in-the-middle (CVE-2022-27254) où les signaux RF pourraient être interceptés et manipulés pour une utilisation ultérieure. Kevin26000 avait également signalé une attaque par relecture similaire (CVE-2021-46145) en janvier 2022.