Patch de sécurité pour 2,2 millions de véhicules du groupe BMW

Rools-RoyceLes chercheurs de la très puissante ADAC, l’association allemande des automobilistes, ont découvert une malencontreuse faille de sécurité dans le système embarqué BMW ConnectedDrive. Cette faille concerne tous les véhicules produit le groupe équipés du système embarqué entre mars 2010 et décembre 2014.
Théoriquement, il suffisait de quelques minutes pour ouvrir une BMW, une Mini ou… une Rolls-Royce avec un téléphone portable. BMW assure que le patch a été lancé via OTA en toute discrétion et que les véhicules concernés, soit 2,2 millions de véhicules, sont désormais hors d’accès des voleurs de voiture. Aucun rappel en concession ne sera réalisé par le constructeur.

Un patch lancé avant l’annonce publique de la faille de sécurité

Sicherheitslücken01_600x400_225770

Les chercheurs de l’ADAC ont été les premiers à révélé une faille de sécurité majeure sur l’ordinateur de bord BMW.

La faille de sécurité révélé publiquement par BMW et l’ADAC concernait 423 000 voitures en Allemagne, 1,2 million en Europe et 2,2 millions dans le monde. Une faille plutôt gênante pour le constructeur qui détient notamment la marque Rolls-Royce. Parmi les modèles affligés de cette faille, les BMW Series 1 à 7, toutes les Mini 3 et 5 portes et encore les Rolls-Royce Phantom, Esprit et Wrait.Si, chez BMW, on assure qu’aucune fonction liée à la sécurité des véhicules n’était potentiellement exposé aux pirates, le ConnectedDrive leur donnait accès à toutes les fonctions liées à l’ordinateur de bord, y compris le déverrouillage des portes. Pour tirer profit de cette faille, un pirate devait mettre en place un faux réseau GSM pour intercepter les communications du système embarqué et réaliser une attaque de type « man in the middle ». Une faille désormais comblée par un patch de sécurité qui implémente enfin HTTPS pour sécuriser les échanges du système ConnectedDrive avec les serveurs BMW.

L’ADAC a informé le constructeur et le Aussagen das Kraftfahrtbundesamt (KBA), l’autorité des transports allemandes) avant d’en informer le public, laissant le temps à BMW de lancer son patch. Le constructeur aurait-il communiqué sur cette faille de sécurité si l’ADAC n’avait pas révélé l’affaire au grand jour ?

 

Sources :
« BMW fixes security flaw in its in-car software », Reuters, 30 janvier 2015
« Vom ADAC aufgedeckt – weltweit 2,2 Millionen Fahrzeuge betroffen », ADAC

Commentaires Facebook
Twitter Facebook Plusone Pinterest Linkedin
Ce contenu a été publié dans Automobile, Logiciel embarqué, M2M, avec comme mot(s)-clé(s) . Vous pouvez le mettre en favoris avec ce permalien.