La vulnérabilité Starlink de Subaru expose les voitures au piratage à distance

Une vulnérabilité majeure dans le service de véhicules connectés Starlink de Subaru a exposé des véhicules et des comptes clients aux États-Unis, au Canada et au Japon à des cyberattaques potentielles. Le chercheur en sécurité Sam Curry et son collègue chercheur Shubham Shah ont découvert des failles critiques qui auraient pu permettre aux attaquants d'obtenir un accès administratif au système de véhicules connectés de Subaru, permettant ainsi le contrôle à distance des véhicules et l'accès aux données sensibles des clients.

Starlink, le système d'infodivertissement et de services connectés embarqué pour les voitures Subaru, est conçu pour fournir des fonctionnalités telles que le contrôle à distance du véhicule, la navigation et les services d'urgence. Cependant, les chercheurs ont découvert que le panneau d'administration du système, destiné exclusivement aux employés, était insuffisamment sécurisé. Hébergé sur un sous-domaine de subarucs.com, le portail d'administration pouvait être exploité en raison de protocoles d'authentification faibles dans le code JavaScript. Plus précisément, il permettait aux attaquants de réinitialiser les mots de passe des comptes d'employés valides sans nécessiter de jeton de confirmation, contournant ainsi efficacement les mesures de sécurité.

En identifiant l'adresse e-mail d'un employé légitime, Curry et Shah ont pu réinitialiser le mot de passe du compte et contourner l'authentification à deux facteurs en désactivant la superposition côté client. Cela leur a permis d'accéder pleinement au tableau de bord d'administration, révélant une mine de données sensibles. Ils ont pu consulter les informations client, notamment les noms, les codes postaux, les numéros de téléphone, les adresses e-mail et les détails de facturation, ainsi que les données spécifiques au véhicule telles que les numéros VIN et les informations de localisation historiques.

Les vulnérabilités ne se limitent pas à l'exposition des données. Selon Curry, le panneau d'administration permet également aux chercheurs de modifier ou d'accorder l'accès aux véhicules. Cela inclut le démarrage, l'arrêt, le verrouillage ou le déverrouillage à distance d'une voiture à l'insu du propriétaire. Dans une découverte alarmante, ils ont démontré que les attaquants pouvaient s'ajouter comme utilisateurs autorisés d'un véhicule sans alerter le propriétaire légitime, prenant ainsi le contrôle de la voiture.

Curry a signalé la faille à Subaru le 20 novembre 2024. Subaru a réagi rapidement et résolu le problème dans les 24 heures suivant la réception du rapport. Si cette réponse rapide a atténué le risque immédiat, la découverte met en évidence des faiblesses persistantes dans la cybersécurité automobile.

Ce n’est pas la première fois que Curry expose des vulnérabilités dans les systèmes de véhicules connectés. En 2023, lui et une équipe de chercheurs ont révélé des failles de sécurité affectant les systèmes télématiques, les API automobiles et l’infrastructure des véhicules connectés de 16 constructeurs automobiles. Il s’agissait notamment d’un problème très médiatisé dans le système télématique Sirius XM, qui a exposé plusieurs marques au piratage à distance. En outre, Curry avait déjà découvert un bug dans la plateforme des propriétaires de voitures de Kia qui mettait en danger des millions de véhicules.

L’affaire Subaru Starlink souligne l’importance de tests de sécurité rigoureux dans les écosystèmes de voitures connectées. Avec l’intégration croissante des systèmes IoT dans les véhicules, les constructeurs doivent privilégier des mesures de cybersécurité robustes pour se protéger contre les violations de données et les prises de contrôle à distance des véhicules. Dans le cas contraire, les conducteurs pourraient être vulnérables à des cyberattaques de plus en plus sophistiquées.