La Nissan Leaf plombée par l’appli NissanConnect EV

Une vulnérabilité dans l’application NissanConnect EV expose au piratage des fonctionnalités de la Nissan Leaf, la voiture 100 % électrique la plus vendue au monde.

L’application NissanConnect EV (anciennement Carwings) permet de gérer certaines fonctions de la Nissan Leaf directement depuis un smartphone (surveillance de l’état de charge de la batterie, programmation de la recharge, mise en marche du chauffage et de la climatisation, etc.). Troy Hunt, un chercheur australien en cybersécurité, a démontré qu’une simple faille de sécurité dans l’application peut exposer au piratage l’ordinateur de bord de ce véhicule électrique.

Hunt a rendu son analyse publique plus d’un mois après avoir informé le constructeur japonais de la vulnérabilité. Le chercheur a constaté que l’accès à l’API de l’application pouvait se faire de manière anonyme. Si chaque Nissan Leaf dispose d’un identifiant unique, le VIN, seuls ses 5 derniers chiffres varient. De plus, le VIN peut être visible sur le pare-brise du véhicule ou être découvert par le biais d’un script Python. La faille mise au jour par le chercheur pourrait être utilisée pour modifier le niveau de charge de la batterie d’une Nissan Leaf et/ou accéder à l’historique de navigation routière. Un hacker, où qu’il se trouve, pourrait effectuer ces manipulations, comme s’il était le propriétaire de la voiture, sans toutefois en prendre le contrôle (ni déverrouillage, ni démarrage ou arrêt à distance ne sont possibles).

« Nissan doit résoudre ce problème »

Après l’analyse publiée par Troy Hunt, le 24 février, Nissan aurait désactivé l’application. « Nissan est conscient d’un problème de données » dans l’application NissanConnect EV, a déclaré une porte-parole du constructeur, tout en affirmant que cela « n’a aucun effet sur le fonctionnement ou la sécurité du véhicule », rapporte MotherBoard. « Nos équipes ‘produit et technologies’ mondiales travaillent actuellement sur une solution pérenne et robuste », a ajouté le constructeur, sans toutefois donner de date de publication d’un correctif. Pour Troy Hunt, cet épisode démontre que les constructeurs automobiles et leurs partenaires ont encore beaucoup à faire pour sécuriser les véhicules connectés.

Lire aussi :

La voiture connectée conduira les bénéfices des opérateurs

La voiture 100 % autonome : une hérésie ?

Sécurité : des hackers testent le contrôle à distance d’une Jeep

crédit photo © Ed Aldridge / Shutterstock.com