Une faille dans les services de Subaru a permis à des pirates informatiques de déverrouiller les voitures et de suivre l'historique des déplacements des conducteurs.

Par: Volodymyr Kolominov | 24.01.2025, 11:35
Comment fonctionnent les services connectés Subaru Starlink : Aperçu des services Image illustrative des services connectés Subaru Starlink. Capture d'écran de la vidéo YouTube. Source: Subaru

À la fin de l'année dernière, des chercheurs ont découvert une grave faille de sécurité dans le service web interne et le système embarqué de Subaru, Subaru Starlink. Cette faille donnait un accès total aux données personnelles des clients de l'entreprise, y compris l'historique de localisation, les contacts d'urgence, l'historique des appels et bien d'autres choses encore.

Ce que nous savons

Les chercheurs en cybersécurité Sam Curry et Shubham Shah ont découvert la faille en novembre 2024, alors qu'ils effectuaient des recherches sur la Subaru Impreza 2023 de la mère de Curry, qu'il avait achetée un an plus tôt. Curry a déclaré à Wired dans un commentaire qu'il avait accédé à l'historique des positions exactes de la voiture pendant au moins un an, ainsi qu'à d'autres informations sensibles.

Les chercheurs ont pu se connecter au site web de Subaru en utilisant le compte piraté d'un employé de la société. Ils ont ainsi pu prendre le contrôle des fonctions Starlink des voitures et accéder à une grande quantité de données personnelles, notamment le nom du client, les contacts d'urgence, l'historique des appels, l'adresse du domicile et même le code PIN de la voiture. Ils pouvaient également déverrouiller la voiture à distance et la faire démarrer. Tout ce dont ils avaient besoin était le nom de famille de la victime, le numéro de la plaque d'immatriculation de la voiture, le code postal du propriétaire, son numéro de téléphone ou son adresse électronique.

À la décharge de Subaru, cette vulnérabilité n'existe plus. De plus, le constructeur automobile a corrigé la faille pour les attaquants moins de 24 heures après en avoir été informé. Selon Sam Curry, le problème ne réside pas seulement dans le fait que des personnes non autorisées peuvent accéder aux voitures, mais aussi dans le fait que pratiquement n'importe quel employé du constructeur automobile a un accès complet aux informations sensibles des utilisateurs. Cela ne s'applique probablement pas qu'à Subaru, mais à l'ensemble de l'industrie automobile.

Source : Wired : Wired