Quelle est cette faille qui menace la sécurité de plus de 100 millions de véhicules ?

• Twitter
• Facebook
• Linkedin
• Flipboard
• Email

Votre voiture est fermée à clef, aucune trace d'effraction, et pourtant votre GPS, votre sac ou vos lunettes de soleil ont bel et bien disparus. C'est Le mystère de la chambre jaune, version automobile. Et l'énigme vient d'être résolue par une équipe de chercheurs allemands et anglais (publication à lire ici)

La presse allemande s'en fait l'écho le 11 août et pour cause, plus de 100 millions de voitures dans le monde pourraient être impliqués par cette faille de sécurité, comme le relate le Süddeutsche Zeitung dans un article publié sur son site internet.

Premier concerné, le groupe Volkswagen et ses marques Audi, Seat et Skoda. Les chercheurs mettent en cause les différents programmes RKE (remote keyless entry systems) utilisés par le constructeur allemand au fil des années.

Un trop petit nombre de clés cryptographiques

“Nous avons découvert que la majorité des véhicules du groupe Volkswagen a été sécurisée avec seulement une poignée de clés cryptographiques, qui ont été utilisées dans le monde entier pendant 20 ans”, expliquent les chercheurs dans leur publication. Résultat : en captant et déchiffrant le signal émis par la télécommande lors de la fermeture d’une seule serrure, il est possible de créer une télécommande “clone” capable dès lors d’ouvrir une multitude de voitures de la marque Volkswagen.

Les chercheurs ont alors dressé une liste, “non exhaustive”, précise-t-il des véhicules potentiellement impactés par cette faille : 
Audi : A1, Q3, R8, S3, TT…
Volkswagen : Amarok, New Beatle, Bora, Caddy, Crafter, e-Up, Eos, Fox, Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5, Scirocco, Sharan, Tiguan, Touran, Up
Seat : Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
Skoda : City Go, Roomster, Fabia 1, Fabia 2, Octavia, SuperB; Yeti

Que faire pour éviter de se faire pirater sa voiture ? Pour les chercheurs, il est peu probable que Volkswagen puisse changer ou mettre à jour ses systèmes en peu de temps. “S’assurer que son véhicule est bien verrouillé en se fiant aux signaux lumineux et sonores n’est plus suffisant. Un voleur, à 100 mètres de distance, a pu intercepter le signal et générer un nouveau et valide signal de déverrouillage”, explique la publication.

La solution préconisée par les auteurs de l'étude est plutôt radicale : ne plus utiliser le verrouillage à distance, et s’en tenir au verrouillage mécanique.

Le système Hitag2 également concerné

Mais Volkswagen n’est pas la seule marque pointée du doigt. Les véhicules utilisant le système de verrouillage à distance Hitag2 (société NXP), comme les français Citroën (Nemo, Jumper), Peugeot (207, Boxer, Expert etc) et Renault (Clio, Twingo, etc), l'italien Fiat (Punto, Panda...), l'allemand Opel (Astra, Corsa, etc), le japonais Nissan (Qashqai, Note etc) ou encore l'américain Ford (Ka), présentent également des failles.

Contrairement à Volkswagen, le problème du système Hitag2 n’est pas le petit nombre de versions différentes de la clé cryptographique, mais une méthode de chiffrement faible, et donc vulnérable. Une attaque sur un système Hitag2 nécessite au moins quatre “écoutes” du signal, là où une suffit chez Volkswagen. Sur les véhicules concernés, les chercheurs ont tout de même réussi à passer les systèmes de sécurité “en moins de 10 minutes”. Là encore, ils préconisent de s’en tenir à un verrouillage manuel des portes.

Résultat, que ce soit avec le système propriétaire de Volkswagen ou l’Hitag2 utilisé par de nombreuses marques, il est possible de cloner les télécommandes de contrôle et d’avoir accès illégalement à de nombreux véhicules.

Pour le moment, “il n’est pas certain que des vols utilisant ces failles soient commis. Bien que de nombreux média ont fait état de vols inexpliqués dans des véhicules verrouillés ces dernières années", concluent les scientifiques.

Selon le Süddeutsche Zeitung, une investigation est actuellement en cours en Allemagne concernant un vol de voiture qui aurait eu lieu grâce à l’exploitation de cette faille de sécurité.

Volkswagen, interrogé par la presse allemande, a admis que ses véhicules les plus âgés ne présentaient pas le même niveau de sécurité que les automobiles actuelles.