En janvier 2023, ils ont publié les premiers résultats de leurs travaux, un énorme collection de vulnérabilités Web affectant Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce et Ferrari, qu'ils avaient tous signalés aux constructeurs vehicles. Pour au moins une demi-douzaine de ces entreprises, les bugs Internet découverts par le groupe offraient au moins un sure niveau de contrôle des fonctionnalités connectées des voitures, ont-ils écrit, tout comme dans leur dernier hack Kia. D'autres, disent-ils, ont autorisé un accès non autorisé aux données ou aux purposes internes des entreprises. D'autres encore ont ciblé un logiciel de gestion de flotte pour les véhicules d'urgence et auraient même pu empêcher ces véhicules de démarrer, pensent-ils, même s'ils n'avaient pas les moyens de tester en toute sécurité cette astuce potentiellement dangereuse.
En juin de cette année, dit Curry, il a découvert que Toyota semblait avoir encore une faille similaire dans son portail Internet qui, en combinaison avec une fuite d'identification de concessionnaire qu'il a trouvée en ligne, aurait permis le contrôle à distance des fonctionnalités des véhicules Toyota et Lexus comme suivi, déverrouillage, klaxonnage et allumage. Il a signalé cette vulnérabilité à Toyota et a montré à WIRED un e-mail de affirmation semblant démontrer qu'il avait pu se réattribuer le contrôle des fonctionnalités connectées d'une Toyota cible sur le Internet. Cependant, Curry n'a pas filmé de vidéo de cette approach de piratage de Toyota avant de la signaler à Toyota, et la société a rapidement corrigé le bug qu'il avait divulgué, mettant même temporairement son portail Internet hors ligne pour empêcher son exploitation.
« À la suite de cette enquête, Toyota a rapidement désactivé les informations d'identification compromises et accélère les améliorations de la sécurité du portail, tout en désactivant temporairement le portail jusqu'à ce que les améliorations soient terminées », a écrit un porte-parole de Toyota à WIRED en juin.
Plus de fonctionnalités intelligentes, plus de bugs stupides
Le nombre extraordinaire de vulnérabilités dans les websites Internet des constructeurs vehicles qui permettent le contrôle à distance des véhicules est le résultat direct de la volonté des entreprises d'attirer les consommateurs, en particulier les jeunes, avec des fonctionnalités compatibles avec les smartphones, explique Stefan Savage, professeur d'informatique à l'UC San. Diego dont l'équipe de recherche a été la première à pirater la direction et les freins d'une voiture sur Internet en 2010. « Une fois que vous avez connecté ces fonctionnalités utilisateur au téléphone, cet élément connecté au cloud, vous créez toute cette floor d'attaque dont vous n'aviez pas à vous soucier auparavant », explique Savage.
Pourtant, dit-il, même lui est surpris par l'insécurité de tout le code Internet qui gère ces fonctionnalités. « C'est un peu décevant de constater qu'il est aussi facile à exploiter qu'avant », dit-il.
Rivera affirme avoir constaté, au cours de ses années de travail dans le domaine de la cybersécurité vehicle, que les constructeurs vehicles mettent souvent davantage l'accent sur les appareils « embarqués » (les composants numériques dans des environnements informatiques non traditionnels comme les voitures) plutôt que sur la sécurité Internet, en partie parce que la mise à jour de ces appareils intégrés peut être difficile. beaucoup plus difficile et conduisent à des rappels. « Dès mes débuts, il était clair qu'il existait un écart flagrant entre la sécurité intégrée et la sécurité Internet dans l'industrie vehicle », explique Rivera. « Ces deux choses se mélangent très souvent, mais les gens n’ont d’expérience que dans l’une ou l’autre. »
Savage de l'UCSD espère que le travail des chercheurs en piratage de Kia pourrait contribuer à modifier cette orientation. Bon nombre des premières expériences de piratage très médiatisées qui ont affecté les systèmes embarqués des voitures, comme le rachat de Jeep en 2015 et le piratage de l'Impala en 2010 réalisé par l'équipe de Savage à l'UCSD, ont persuadé les constructeurs vehicles qu'ils devaient mieux donner la priorité à la cybersécurité embarquée, dit-il. Désormais, les constructeurs vehicles doivent également se concentrer sur la sécurité Internet, même si cela implique des sacrifices ou des changements dans leurs processus.
« Remark décidez-vous : « Nous n'expédierons pas la voiture avant six mois parce que nous n'avons pas parcouru le code Internet ? » C'est difficile à vendre », dit-il. « J'aimerais penser que ce style d'événement amène les gens à examiner cette décision de manière plus approfondie. »