L’équipe d’évaluation de l’expérience client et de test de pénétration (CX APT) de Cisco a dévoilé avoir découvert une vulnérabilité permettant de corrompre la mémoire dans la libc de GNU pour ARMv7.
Cette vulnérabilité permet d’exploiter à des fins malveillantes les systèmes Linux ARMv7, des systèmes notamment présents dans les véhicules connectés.
La faille rend possible la mise en œuvre de vulnérabilités logicielles, d’attaques basées sur le matériel et, selon le blog de Talos Intelligence, permettrait de prendre le contrôle d’un véhicule à distance.
De plus en plus de capteurs et de dispositifs aident les voitures à mesurer et à comprendre leur environnement ainsi que leur place dans cet environnement. Ils fournissent aux conducteurs et aux véhicules des informations en temps réel, des données qui dans certains cas, sont utilisées et interprétées activement pour conduite du véhicule. Ces systèmes offrent de nombreux "vecteurs d’attaque" dans des véhicules qui peuvent être connectés via des réseaux mobiles, WiFi, Bluetooth, Radio, USB …
Je vous prie de bien vouloir trouver ci-dessous la réaction de Niels Schweisshelm, Responsable du Programme Technique chez HackerOne, fournisseur d’une plateforme permettant aux entreprises d’identifier des vulnérabilités en collaboration avec des hackers.
"Que cette vulnérabilité ait été découverte et signalée est une excellente chose. Pas besoin de chercher bien loin pour imaginer les risques associés à l’attaque de véhicules par des pirates informatiques. La bonne nouvelle, c’est que cette vulnérabilité a été découverte avant que des acteurs malveillants aient eu la possibilité de l’exploiter. Comme pour tout autre code développé par l’homme, les logiciels conçus pour le secteur automobile ne sont pas exempts de vulnérabilités. Il est donc essentiel, voire critique, de les identifier et de les combler avant qu’elles ne soient exploitées. En raison de la complexité des logiciels embarqués et des problèmes de sécurité qui en découlent, les marques automobiles commencent à tirer bénéfice d’une approche de la sécurité menée en collaboration avec des hackers. Les inviter à se pencher sur leurs actifs numériques garantit la plus grande sûreté possible lors de l’utilisation de véhicules embarquant du logiciel. Cette tendance doit se poursuivre alors que nous nous dirigeons vers un avenir où de plus en plus de véhicules seront autonomes".