Un chasseur de bug trouve une faille permettant de contrôler à distance des millions de Subarus

Un chasseur de bug réputé a trouvé une faille dans un portail Web de la marque Subaru. Grâce à cette vulnérabilité, il était en mesure de localiser et contrôler à distance des millions de voitures du constructeur vendues aux Etats-Unis, au Japon ou au Canada.

Sam Curry est un chasseur de bug réputé et plutôt craint par les constructeurs automobiles. Pour cause, ce hacker expérimentée a déjà par le passé découvert des failles critiques dans les systèmes informatiques de plusieurs marques, à commencer par Kia. 

En septembre dernier, nous avons d'ailleurs évoqué dans nos colonnes son inquiétante trouvaille. Pour résumer brièvement les faits, Sam Curry avait trouvé une faille dans le portail Web de Kia. Une fois exploitée, il était en mesure de contrôler à distance des millions de véhicules de la marque (déverrouillage des portes, klaxon, accès aux flux vidéo des caméras embarquées, arrêt/démarrage du véhicule, etc.).

Une faille sur le portail web de Subaru

Or et comme le rapportent nos confrères du site Wired, le pirate vient justement de dénicher une faille similaire au sein des véhicules Subaru. Tout comme chez Kia, lui et son partenaire Shubham Shah ont exploité une vulnérabilité sur un site web Subaru réservé au personnel de l'entreprise. Cette faille leur a ensuite permis de pirater le compte d'un employé. 

Résultat, les deux hackers avaient les mains libres pour récupérer le contrôle des fonctionnalités Starlink des voitures de la marque (une fonctionnalité uniquement disponible aux Etats-Unis, au Japon et au Canada). En outre, ils ont également pu accéder à toutes les données de localisation des véhicules gérés par les employés de la marque.

Il pouvait traquer les mouvements d'une voiture sur un an !

Pour les besoins de l'expérience, Sam Curry a donc exploité cette même faille sur la Subaru Impreza 2023 de sa mère. Comme sur les Kia, ils étaient également en mesure d'activer des fonctionnalités similaires à distance (verrouillage des portes, klaxon, démarrage du véhicule, etc.). Mais pire encore, grâce aux fonctions de géolocalisation offerte par le système Starlink embarqué, les deux pirates ont pu obtenir un historique détaillé des déplacements de la voiture sur toute une année ! 

Comme l'explique Curry, il a pu voir où se situait le médecin de sa mère, où vivaient ses amis, ou encore où se trouvait la place exacte de parking qu'elle utilisait tous les dimanches avant de se rendre à l'église.

“Vous pouvez récupérer au moins un an d'historique de localisation de la voiture, où elle est affichée avec précision, parfois plusieurs fois par jour. Que quelqu'un trompe sa femme, se fasse avorter ou fasse partie d'un groupe politique, il existe un million de scénarios dans lesquels vous pourriez utiliser cette faille contre quelqu'un”, assure-t-il.

Fin novembre 2024, ils ont fait part de leur terrible découverte à Subaru. Le constructeur sud-coréen s'est empressé de colmater les failles liées aux systèmes Starlink. Mais selon eux, ce problème concerne un pan bien plus large de l'industrie. Sam Curry affirme que lui et d'autres chercheurs en sécurité informatique ont découvert des failles similaires chez d'autres constructeurs, comme Acura, Genesis, Honda, Hyundai ou encore Kia et Toyota.

Source : Sam Curry.net