Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

L'Usine Auto

Quelle est cette faille qui menace la sécurité de plus de 100 millions de véhicules ?

Anne-Katell Mousset , , , ,

Publié le , mis à jour le 12/08/2016 À 14H18

Des chercheurs anglais et allemands ont mis au jour une faille de sécurité dans le système d'ouverture et de fermeture à distance d'environ 100 millions de véhicules dans le monde. De nombreux constructeurs, comme Volkswagen ou les français Renault, Peugeot et Citroën sont concernés. Explications. 

Quelle est cette faille qui menace la sécurité de plus de 100 millions de véhicules ? © James086 - CC

Votre voiture est fermée à clef, aucune trace d'effraction, et pourtant votre GPS, votre sac ou vos lunettes de soleil ont bel et bien disparus. C'est Le mystère de la chambre jaune, version automobile. Et l'énigme vient d'être résolue par une équipe de chercheurs allemands et anglais (publication à lire ici)

La presse allemande s'en fait l'écho le 11 août et pour cause, plus de 100 millions de voitures dans le monde pourraient être impliqués par cette faille de sécurité, comme le relate le Süddeutsche Zeitung dans un article publié sur son site internet.

Premier concerné, le groupe Volkswagen et ses marques Audi, Seat et Skoda. Les chercheurs mettent en cause les différents programmes RKE (remote keyless entry systems) utilisés par le constructeur allemand au fil des années.

Un trop petit nombre de clés cryptographiques

“Nous avons découvert que la majorité des véhicules du groupe Volkswagen a été sécurisée avec seulement une poignée de clés cryptographiques, qui ont été utilisées dans le monde entier pendant 20 ans”, expliquent les chercheurs dans leur publication. Résultat : en captant et déchiffrant le signal émis par la télécommande lors de la fermeture d’une seule serrure, il est possible de créer une télécommande “clone” capable dès lors d’ouvrir une multitude de voitures de la marque Volkswagen.

Plus étonnant encore : les véhicules de la marque utilisant le système VW-4, plus récent (mis en place entre 2009 et 2016), utilise une seule clé cryptographique partout dans le monde.

Les chercheurs ont alors dressé une liste, “non exhaustive”, précise-t-il des véhicules potentiellement impactés par cette faille : 
Audi : A1, Q3, R8, S3, TT…
Volkswagen : Amarok, New Beatle, Bora, Caddy, Crafter, e-Up, Eos, Fox, Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5, Scirocco, Sharan, Tiguan, Touran, Up
Seat : Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
Skoda : City Go, Roomster, Fabia 1, Fabia 2, Octavia, SuperB; Yeti

Que faire pour éviter de se faire pirater sa voiture ? Pour les chercheurs, il est peu probable que Volkswagen puisse changer ou mettre à jour ses systèmes en peu de temps. “S’assurer que son véhicule est bien verrouillé en se fiant aux signaux lumineux et sonores n’est plus suffisant. Un voleur, à 100 mètres de distance, a pu intercepter le signal et générer un nouveau et valide signal de déverrouillage”, explique la publication.

La solution préconisée par les auteurs de l'étude est plutôt radicale : ne plus utiliser le verrouillage à distance, et s’en tenir au verrouillage mécanique.

Le système Hitag2 également concerné

Mais Volkswagen n’est pas la seule marque pointée du doigt. Les véhicules utilisant le système de verrouillage à distance Hitag2 (société NXP), comme les français Citroën (Nemo, Jumper), Peugeot (207, Boxer, Expert etc) et Renault (Clio, Twingo, etc), l'italien Fiat (Punto, Panda...), l'allemand Opel (Astra, Corsa, etc), le japonais Nissan (Qashqai, Note etc) ou encore l'américain Ford (Ka), présentent également des failles.

Contrairement à Volkswagen, le problème du système Hitag2 n’est pas le petit nombre de versions différentes de la clé cryptographique, mais une méthode de chiffrement faible, et donc vulnérable. Une attaque sur un système Hitag2 nécessite au moins quatre “écoutes” du signal, là où une suffit chez Volkswagen. Sur les véhicules concernés, les chercheurs ont tout de même réussi à passer les systèmes de sécurité “en moins de 10 minutes”. Là encore, ils préconisent de s’en tenir à un verrouillage manuel des portes.

Résultat, que ce soit avec le système propriétaire de Volkswagen ou l’Hitag2 utilisé par de nombreuses marques, il est possible de cloner les télécommandes de contrôle et d’avoir accès illégalement à de nombreux véhicules.

Pour le moment, “il n’est pas certain que des vols utilisant ces failles soient commis. Bien que de nombreux média ont fait état de vols inexpliqués dans des véhicules verrouillés ces dernières années", concluent les scientifiques.

Selon le Süddeutsche Zeitung, une investigation est actuellement en cours en Allemagne concernant un vol de voiture qui aurait eu lieu grâce à l’exploitation de cette faille de sécurité.

Volkswagen, interrogé par la presse allemande, a admis que ses véhicules les plus âgés ne présentaient pas le même niveau de sécurité que les automobiles actuelles. 

Réagir à cet article

3 commentaires

Nom profil

17/08/2016 - 11h27 -

QUID des voitures avec ouverture mains libre? Je suppose que les clés sont passive et que ce sont les voitures qui émettent?
Répondre au commentaire
Nom profil

13/08/2016 - 19h10 -

On avait déjà connu voici quelques années que des gens bien outillés pouvaient capter le code au vol (si je puis dire) en se tenant à proximité de votre véhicule afin de l’ouvrir ensuite très facilement. Lu où à l’époque ? Peut-être sur Usine Nouvelle …
Répondre au commentaire
Nom profil

12/08/2016 - 16h19 -

Luttons contre le vol de voiture ou de véhicules . Bon courage et bonne chance aux victimes
Répondre au commentaire
Testez L'Usine Nouvelle en mode abonné. Gratuit et sans engagement pendant 15 jours.

Les entreprises qui font l'actu

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle