L’application NissanConnect EV (anciennement Carwings) permet de gérer certaines fonctions de la Nissan Leaf directement depuis un smartphone (surveillance de l’état de charge de la batterie, programmation de la recharge, mise en marche du chauffage et de la climatisation, etc.). Troy Hunt, un chercheur australien en cybersécurité, a démontré qu’une simple faille de sécurité dans l’application peut exposer au piratage l’ordinateur de bord de ce véhicule électrique.
Hunt a rendu son analyse publique plus d’un mois après avoir informé le constructeur japonais de la vulnérabilité. Le chercheur a constaté que l’accès à l’API de l’application pouvait se faire de manière anonyme. Si chaque Nissan Leaf dispose d’un identifiant unique, le VIN, seuls ses 5 derniers chiffres varient. De plus, le VIN peut être visible sur le pare-brise du véhicule ou être découvert par le biais d’un script Python. La faille mise au jour par le chercheur pourrait être utilisée pour modifier le niveau de charge de la batterie d’une Nissan Leaf et/ou accéder à l’historique de navigation routière. Un hacker, où qu’il se trouve, pourrait effectuer ces manipulations, comme s’il était le propriétaire de la voiture, sans toutefois en prendre le contrôle (ni déverrouillage, ni démarrage ou arrêt à distance ne sont possibles).
Après l’analyse publiée par Troy Hunt, le 24 février, Nissan aurait désactivé l’application. « Nissan est conscient d’un problème de données » dans l’application NissanConnect EV, a déclaré une porte-parole du constructeur, tout en affirmant que cela « n’a aucun effet sur le fonctionnement ou la sécurité du véhicule », rapporte MotherBoard. « Nos équipes ‘produit et technologies’ mondiales travaillent actuellement sur une solution pérenne et robuste », a ajouté le constructeur, sans toutefois donner de date de publication d’un correctif. Pour Troy Hunt, cet épisode démontre que les constructeurs automobiles et leurs partenaires ont encore beaucoup à faire pour sécuriser les véhicules connectés.
Lire aussi :
La voiture connectée conduira les bénéfices des opérateurs
La voiture 100 % autonome : une hérésie ?
Sécurité : des hackers testent le contrôle à distance d’une Jeep
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…