Des vulnérabilités inquiétantes dans le système Starlink de Subaru pourraient exposer des millions de véhicules à un accès non autorisé et à un suivi de localisation intensif. Malgré l’affirmation de Subaru ne pas vendre ces données, la possibilité de leur abus soulève de sérieuses inquiétudes pour la sécurité des conducteurs.
Un véritable casse-tête : Des chercheurs en sécurité ont mis en lumière des vulnérabilités alarmantes dans le système Starlink de Subaru, potentiellement exposant des millions de véhicules à un accès non autorisé ainsi qu’à un suivi de localisation étendu. Bien que Subaru ait déclaré ne pas vendre de données de localisation, le potentiel d’utilisation abusive suscite de vives inquiétudes.
La découverte a commencé lorsque Sam Curry, ayant acheté une Impreza 2023 pour sa mère, a décidé d’examiner les fonctionnalités connectées lors d’une visite de Thanksgiving.
Curry et son collègue chercheur Shubham Shah ont constaté qu’ils pouvaient prendre le contrôle de diverses fonctions du véhicule, y compris déverrouiller les portes, klaxonner et démarrer le moteur. Cependant, ce qui a le plus perturbé Curry était la possibilité d’accéder à un historique de localisation détaillé. « Vous pouvez récupérer au moins un an d’historique de localisation pour la voiture, où elle a été localisée précisément, parfois plusieurs fois par jour, » a déclaré Curry à Wired. Il a ajouté : « Que quelqu’un trompe sa femme, qu’il subisse une avortement ou qu’il fasse partie d’un groupe politique, il y a un million de scénarios où vous pourriez utiliser cela contre quelqu’un. »
Les chercheurs ont commencé par identifier une faille dans la fonctionnalité de réinitialisation du mot de passe sur le site SubaruCS.com, un portail administratif destiné aux employés de Subaru. En devinant simplement l’adresse e-mail d’un employé, ils pouvaient initier un processus de réinitialisation de mot de passe, exposant une faille test dans la conception du système.
Une enquête plus poussée a révélé que, bien que le site demande des réponses à deux questions de sécurité pendant le processus de réinitialisation, celles-ci étaient vérifiées à l’aide de code exécuté côté client dans le navigateur de l’utilisateur et non sur les serveurs de Subaru. Cette négligence a permis aux chercheurs de contourner facilement les questions de sécurité, mettant en lumière une importante défaillance dans les mesures de cybersécurité de l’entreprise. « Il y avait vraiment plusieurs échecs systémiques qui ont conduit à cela, » a déclaré Shah à Wired.
Curry et Shah ont ensuite utilisé LinkedIn pour localiser l’adresse e-mail d’un développeur du système Starlink de Subaru, exploitant les vulnérabilités pour prendre le contrôle de ce compte d’employé, ce qui leur a donné accès à des informations et à des contrôles sensibles. Le compte compromis a permis au duo de rechercher n’importe quel propriétaire de Subaru en utilisant divers identifiants personnels tels que le nom de famille, le code postal, l’adresse e-mail, le numéro de téléphone ou le numéro de plaque d’immatriculation.
De plus, ils ont découvert qu’ils pouvaient accéder et modifier les configurations du Starlink pour n’importe quel véhicule, ainsi que réaffecter le contrôle des fonctionnalités de Starlink. Cela incluait la capacité de déverrouiller à distance des voitures, de klaxonner, de démarrer des moteurs et de localiser des véhicules.
Le plus alarmant, Curry et Shah ont eu accès à des historiques de localisation détaillés des véhicules, avec des données remontant à au moins un an. « Vous pouvez récupérer au moins un an d’historique de localisation pour la voiture, où elle a été localisée précisément, parfois plusieurs fois par jour, » a expliqué Curry à Wired.
Subaru a rapidement corrigé les failles de sécurité après que les chercheurs aient rapporté leurs découvertes fin novembre. Cependant, l’incident soulève des préoccupations plus larges concernant la vie privée et la sécurité des données dans l’industrie automobile. Les chercheurs avertissent que des vulnérabilités similaires existent probablement dans les systèmes d’autres fabricants d’automobiles.
Un représentant de Subaru a confirmé à Wired que certains employés peuvent accéder aux données de localisation, affirmant que cela est nécessaire pour des raisons telles que le partage de la localisation du véhicule avec les premiers intervenants en cas d’accident. « Tous ces individus reçoivent une formation appropriée et sont tenus de signer les accords de confidentialité, de sécurité et de NDA nécessaires, » a déclaré l’entreprise. Elle a également affirmé qu’elle ne vend pas les données de localisation.
Cette découverte s’inscrit dans une tendance plus large des vulnérabilités de sécurité dans les véhicules connectés. Curry et d’autres chercheurs ont précédemment identifié des problèmes similaires affectant plusieurs fabricants de voitures, y compris Acura, Genesis, Honda, Hyundai, Infiniti, Kia et Toyota.
Cet incident souligne les inquiétudes croissantes concernant la vie privée entourant les véhicules modernes. Un rapport récent de la Mozilla Foundation a révélé que 92 % des constructeurs automobiles donnent aux propriétaires peu ou pas de contrôle sur les données collectées, et 84 % se réservent le droit de vendre ou de partager cette information.