Les voitures connectées sont de véritables proies pour les hackers. C’était d’ailleurs l’un des sujets brulants des conférences Black Hat et DefCon 2015 (les plus grands rassemblements de hackers), où les pires scénarios possibles nous ont été présentés. Visiblement, le phénomène n’est pas prêt de s’essouffler et c’est aujourd’hui Nissan qui en fait les frais sur sa voiture électrique, la Leaf. Pointée du doigt sur son site par l’expert en sécurité Troy Hunt, l’application Nissan ConnectEV souffre en effet d’une faille majeure permettant d’accéder facilement à certaines données et fonctions de la voiture.
Ce hack est parti d’une situation assez amusante. Troy Hunt explique que lors d’une formation dédiée aux développeurs en Norvège, il a été interpellé par un possesseur de Nissan LEAF – une voiture électrique très populaire là-bas– qui souhaitait mettre à l’épreuve la sécurité de ConnectEV.
De fil en aiguille, Troy Hunt et Scott Helme, un autre expert en sécurité, ont découvert qu’il était possible d’accéder aisément à son véhicule, mais aussi… à n’importe quelle Nissan LEAF.
En effet, pour exploiter cette faille, il suffit simplement de relever le numéro VIN (Vehicle Identification Number, soit la carte d’identité de la voiture) d’une Leaf. Et la chose est ridiculement simple, puisque ce numéro d’identification est visible au bas du pare-brise sur n’importe quelle auto. C’est notamment celui-ci qui permet aux forces de l’ordre, lors d’un contrôle, de vérifier que le véhicule correspond bien à celui de la carte grise.
Nissan ConnectEV est le maillon faible
L’application Nissan ConnectEV permet aux clients ayant acheté la voiture électrique d’accéder aux données de leur voiture : contrôle de la charge, localisation GPS, etc.
La vidéo ci-dessous pointe la rapidité et la simplicité étonnante avec laquelle le hacker pénètre le véhicule. Il lui est ensuite possible d’allumer la climatisation de la voiture ou encore de consulter les données enregistrées dans le GPS. Dans le premier cas, une personne mal intentionnée pourrait utiliser ce hack pour vider la batterie en activant la clim’ toute une nuit par exemple. Dans l’autre, il permettrait de suivre assez facilement le véhicule en vue, dans le pire des cas, de le voler.
Sur sa page Internet, Troy Hunt réalise même un pas-à-pas de la marche à suivre pour exploiter la faille de l’application Nissan. Mais ne vous précipitez pas : le constructeur s’est d’ores et déjà excusé auprès de ses clients et a retiré l’application des magasins d’applications. Nissan s’est par ailleurs engagé à corriger les problèmes et livrer une nouvelle version plus sécurisée de l’application.
À noter que, selon le CCFA (Comité des Constructeurs Français d’Automobiles), 2222 Nissan Leaf auraient été immatriculées en 2015.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
