Kia : avec cette faille, des pirates pouvaient contrôler des millions de voitures à distance

Un chasseur de bugs réputé a découvert dans le système informatique de Kia une faille de sécurité au potentiel dévastateur. Pour cause, grâce à cette vulnérabilité, il était en mesure de localiser et contrôler des millions de voitures à distance.

Aujourd'hui, la quasi-totalité des voitures modernes disposent de technologies connectées, notamment pour assurer certains services comme le déverrouillage à distance ou la localisation par exemple.

Seulement, cette omniprésence de l'informatique représente évidemment des risques pour la sécurité de nos voitures. Kia l'a récemment découvert à ses dépens. En effet, une équipe de chercheurs menée par Sam Curry (ndlr : un chasseur de bugs réputé) a mis en lumière une faille de sécurité au potentiel dévastateur dans les systèmes du constructeur.

Une terrible faille repérée dans le système de Kia

Plus précisément, cette vulnérabilité se trouvait sur le portail web de Kia. Grâce à elle, l'expert était en mesure de prendre le contrôle à distance de millions de véhicules de la marque (tous les modèles sortis entre 2013 à 2024), en utilisant seulement leur plaque d'immatriculation. Selon son rapport complet publié sur son blog personnel, lui et ses équipes pouvaient même déverrouiller les portes, enclencher le klaxon, activer les caméras embarquées ou tout simplement démarrer/arrêter le véhicule !

Dans une vidéo partagée sur YouTube, Sam Curry démontre comment il est parvenu à pirater une KIA EV6 à l'aide d'une appli baptisée KIAtool. Cet outil a justement été développé par Curry pour mettre en lumière les vulnérabilités présentes sur les véhicules de la marque sud-coréenne. Il n'a jamais été distribué au public.

A lire également : Cette “Game Boy” permet de voler une Hyundai ou une Kia électriques en quelques secondes

Cerise sur le gâteau, cette faille a permis à Sam et son équipe de récupérer de nombreuses informations sensibles sur les clients de la marque comme :

• les noms complets
• les numéros de téléphone
• les adresses e-mail
• les adresses postales

Pas d'exploitation malveillante d'après la marque

Comme si cela ne suffisait pas, il a également réussi à s'ajouter comme deuxième utilisateur sur n'importe lequel des véhicules, à l'insu total du propriétaire. Le chercheur a rapidement fait part de sa découverte à Kia, qui s'est empressé de colmater la faille. En outre, la marque lui a confirmé que ce bug n'avait jamais été “exploité de manière malveillante”. 

De l'aveu de Sam Curry, on devrait trouver des vulnérabilités de ce type chez Kia et d'autres constructeurs dans les années à venir. Selon lui, “les voitures continueront d'avoir des failles, car de la même manière que Meta pourrait introduire un changement de code qui permettrait à quelqu'un de prendre le contrôle de votre compte Facebook, les constructeurs automobiles pourraient faire la même chose pour votre véhicule”. 

Pour rappel, Kia et sa maison mère Hyundai ont été au centre d'une gigantesque polémique en 2023, à savoir le fameux Kia Challenge. Née sur TikTok, cette pratique consistait à pousser les utilisateurs à voler des véhicules de deux marques. A cause d'une faille, il suffisait d'une clé USB et d'un tournevis pour démarrer une voiture. Face à l'explosion du nombre de vols aux Etats-Unis, plusieurs Etats ont décidé d'attaquer en justice les deux constructeurs.