L’application NissanConnect EV (anciennement Carwings) permet de gérer certaines fonctions de la Nissan Leaf directement depuis un smartphone (surveillance de l’état de charge de la batterie, programmation de la recharge, mise en marche du chauffage et de la climatisation, etc.). Troy Hunt, un chercheur australien en cybersécurité, a démontré qu’une simple faille de sécurité dans l’application peut exposer au piratage l’ordinateur de bord de ce véhicule électrique.
Hunt a rendu son analyse publique plus d’un mois après avoir informé le constructeur japonais de la vulnérabilité. Le chercheur a constaté que l’accès à l’API de l’application pouvait se faire de manière anonyme. Si chaque Nissan Leaf dispose d’un identifiant unique, le VIN, seuls ses 5 derniers chiffres varient. De plus, le VIN peut être visible sur le pare-brise du véhicule ou être découvert par le biais d’un script Python. La faille mise au jour par le chercheur pourrait être utilisée pour modifier le niveau de charge de la batterie d’une Nissan Leaf et/ou accéder à l’historique de navigation routière. Un hacker, où qu’il se trouve, pourrait effectuer ces manipulations, comme s’il était le propriétaire de la voiture, sans toutefois en prendre le contrôle (ni déverrouillage, ni démarrage ou arrêt à distance ne sont possibles).
Après l’analyse publiée par Troy Hunt, le 24 février, Nissan aurait désactivé l’application. « Nissan est conscient d’un problème de données » dans l’application NissanConnect EV, a déclaré une porte-parole du constructeur, tout en affirmant que cela « n’a aucun effet sur le fonctionnement ou la sécurité du véhicule », rapporte MotherBoard. « Nos équipes ‘produit et technologies’ mondiales travaillent actuellement sur une solution pérenne et robuste », a ajouté le constructeur, sans toutefois donner de date de publication d’un correctif. Pour Troy Hunt, cet épisode démontre que les constructeurs automobiles et leurs partenaires ont encore beaucoup à faire pour sécuriser les véhicules connectés.
Lire aussi :
La voiture connectée conduira les bénéfices des opérateurs
La voiture 100 % autonome : une hérésie ?
Sécurité : des hackers testent le contrôle à distance d’une Jeep
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.