L’application NissanConnect EV (anciennement Carwings) permet de gérer certaines fonctions de la Nissan Leaf directement depuis un smartphone (surveillance de l’état de charge de la batterie, programmation de la recharge, mise en marche du chauffage et de la climatisation, etc.). Troy Hunt, un chercheur australien en cybersécurité, a démontré qu’une simple faille de sécurité dans l’application peut exposer au piratage l’ordinateur de bord de ce véhicule électrique.
Hunt a rendu son analyse publique plus d’un mois après avoir informé le constructeur japonais de la vulnérabilité. Le chercheur a constaté que l’accès à l’API de l’application pouvait se faire de manière anonyme. Si chaque Nissan Leaf dispose d’un identifiant unique, le VIN, seuls ses 5 derniers chiffres varient. De plus, le VIN peut être visible sur le pare-brise du véhicule ou être découvert par le biais d’un script Python. La faille mise au jour par le chercheur pourrait être utilisée pour modifier le niveau de charge de la batterie d’une Nissan Leaf et/ou accéder à l’historique de navigation routière. Un hacker, où qu’il se trouve, pourrait effectuer ces manipulations, comme s’il était le propriétaire de la voiture, sans toutefois en prendre le contrôle (ni déverrouillage, ni démarrage ou arrêt à distance ne sont possibles).
Après l’analyse publiée par Troy Hunt, le 24 février, Nissan aurait désactivé l’application. « Nissan est conscient d’un problème de données » dans l’application NissanConnect EV, a déclaré une porte-parole du constructeur, tout en affirmant que cela « n’a aucun effet sur le fonctionnement ou la sécurité du véhicule », rapporte MotherBoard. « Nos équipes ‘produit et technologies’ mondiales travaillent actuellement sur une solution pérenne et robuste », a ajouté le constructeur, sans toutefois donner de date de publication d’un correctif. Pour Troy Hunt, cet épisode démontre que les constructeurs automobiles et leurs partenaires ont encore beaucoup à faire pour sécuriser les véhicules connectés.
Lire aussi :
La voiture connectée conduira les bénéfices des opérateurs
La voiture 100 % autonome : une hérésie ?
Sécurité : des hackers testent le contrôle à distance d’une Jeep
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…