Passer au contenu

Black Hat 2015: comment les hackers ont piraté à distance la Jeep Cheerokee

Mauvaises configurations et failles béantes sont à l’origine de ce hack spectaculaire qui a été dévoilé il y a deux semaines et pour lequel les auteurs viennent maintenant de livrer une explication technique.

La salle était archi-comblée lorsque Charlie Miller et Chris Valasek ont présenté, ce mercredi 5 août à l’occasion de la conférence Black Hat 2015, les détails techniques du piratage de la Jeep Cherokee de Chrysler. Il faut dire que ce hack, qui a été dévoilé il y a deux semaines par Wired, est particulièrement impressionnant. Il permet de prendre le contrôle à distance de la voiture: activer les essuies-glace, monter le volume radio, mais aussi actionner les freins, tourner le volant, couper le moteur, etc. Depuis, Chrysler a dû rappeler, aux Etats-Unis, plus de 1,4 million de véhicules pour pouvoir déployer une mise à jour du système. Le constructeur a également vu son cours de bourse chuter.

Chris Valasek et Charlie Miller, à Black Hat 2015
Chris Valasek et Charlie Miller, à Black Hat 2015

Comment les deux chercheurs ont-ils procédé? Tout d’abord, il faut savoir que le choix de la Jeep Cherokee n’est pas fortuit mais résulte d’une analyse de sécurité des systèmes embarqués automobiles que les deux compères ont présenté l’année dernière. Dans cette étude, la Jeep Cherokee figurait parmi les voitures américaines les plus vulnérables, aux côtés de la Cadillac Escalade et de l’Infinity Q50. La question que se sont ensuite posée les deux chercheurs était la suivante : est-il possible d’accéder à distance au système de divertissement de cette voiture puis, par interconnexion, de pirater le système de contrôle qui pilote les éléments mécaniques?

La première partie du problème était, finalement, relativement simple à résoudre. Le système de divertissement de la Jeep Cherokee est fourni par un sous-traitant (Harman Kardon) et s’appelle Uconnect. Il est basé sur QNX, un OS léger très utilisé dans l’univers de l’informatique embarquée. En l’analysant de plus près, les chercheurs découvrent – oh, surprise – que le port 6667 est ouvert et permet d’exécuter des commandes inter-processus de type « D-Bus », et cela sans aucun besoin d’authentification. Par ailleurs – autre bonne surprise – cette connexion fonctionne également au travers du module 3G/4G qui est intégré et activé par défaut dans chaque Jeep Cherokee, et qui utilise le réseau de l’opérateur Sprint. Tout cela donne aux deux hackers déjà accès à distance à toute une série de services, comme le contrôle de la climatisation et de la radio ou la récupération de données GPS. Mais il y a mieux : certains services proposent carrément comme fonction… l’exécution de code arbitraire! « C’est cool. Il n’y a même pas besoin de chercher de vulnérabilités », souligne les chercheurs, générant des rires dans la salle.

Très pratique, cette fonction "Execute"...
Très pratique, cette fonction “Execute”…

Reste néanmoins un obstacle de taille : l’accès aux éléments mécaniques de la voiture. Ceux-ci, en effet, sont pilotés au travers d’un réseau spécial de type « CAN » (Controller Area Network). Le système de divertissement n’y a pas accès directement, mais doit passer par un microprocesseur baptisé V850 qui fait office de tampon. Le problème, c’est que celui-ci ne vérifie pas l’authenticité de son propre firmware (pas de signature). En combinant cette faille avec leur capacité d’exécution de code arbitraire, les deux chercheurs ont trouvé un moyen pour modifier le firmware du V850 et, ainsi, d’accéder aux éléments mécaniques de la voiture. Et tout cela depuis une simple connexion 3G/4G. Pour créer la totalité de l’attaque, les deux chercheurs auront mis un an, en travaillant « les soirs et les week-ends ». Tous les détails techniques seront publiés le 10 août dans un livre blanc de 90 pages. 

Jeep Cherokee n'était pas le seul modèle vulnérable au port 6667...
Jeep Cherokee n’était pas le seul modèle vulnérable au port 6667…

Toutefois, les automobilistes concernés n’ont pas besoin d’avoir peur : à ce jour, cette attaque ne fonctionne plus car Sprint a désormais bloqué l’accès aux ports 6667. Le groupe Ford-Chrysler a, de son côté, publié un patch qui élimine la faille d’accès au niveau de Uconnect.

Mais au fait, pourquoi un système de divertissement est-il connecté – même indirectement – aux éléments mécaniques de la voiture? « Evidemment, il serait préférable que ces deux systèmes soient totalement isolés. Mais en réalité, ils le sont de moins en moins, car les fabricants inventent de plus en plus de fonctionnalités qui s’appuient sur leur interaction, explique Charlie Miller. Ainsi, certains systèmes augmentent automatiquement le volume de radio lorsque la vitesse de la voiture augmente, histoire de compenser le bruit. »  Les hackers de voitures ont donc encore de beaux jours devant eux. 

Lire aussi:

Notre dossier Black Hat / DEF CON Las Vegas

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


de notre correspondant à Las Vegas, Gilbert Kallenborn