De nombreuses failles dans les systèmes embarqués des Skoda ont été trouvées lors du dernier Black Hat de Londres. Elles permettaient aux hackers de suivre les véhicules et même d'en prendre le contrôle à distance. Plus de 1 million de voitures seraient concernées par ces vulnérabilités, désormais corrigées par Volkswagen.
Au volant de votre Skoda, qui a récemment sorti Epiq, son dernier SUV électrique, vous ne vous doutiez probablement pas qu'un hacker pouvait potentiellement suivre vos déplacements en temps réel, écouter vos conversations ou même couper le moteur en pleine route. Cette situation était pourtant bien réelle il y a quelques mois.
Des chercheurs de PCAutomotive ont déniché 12 failles de sécurité critiques dans les systèmes d'infodivertissement MIB3 embarqués dans de nombreux modèles Skoda et Volkswagen. Ces vulnérabilités s'ajoutaient à neuf autres identifiées l'an passé. Après avoir subi une cyberattaque à l'automne 2024, c'est un sale hiver qui s'annonce pour le deuxième constructeur mondial.
Les failles du système d'infodivertissement permettaient aux hackers de s'infiltrer sans laisser de traces
L'enquête menée par PCAutomotive a montré que les failles touchaient l'unité d'infodivertissement MIB3 de Skoda, le dernier système d'exploitation du groupe Volkswagen, et particulièrement la Skoda Superb III, mais elles concernaient potentiellement d'autres modèles du groupe Volkswagen.
Les chercheurs ont démontré qu'un attaquant pouvait, sans authentification et à moins de 10 mètres du véhicule, exploiter ces failles avec une simple connexion Bluetooth. Une fois dans le système, le pirate avait alors accès à diverses informations sensibles : coordonnées GPS en temps réel, données de vitesse, conversations enregistrées avec le microphone embarqué, captures d'écran de l'interface multimédia, et même la base de données des contacts téléphoniques du propriétaire si celui-ci avait activé la synchronisation.
Ces vulnérabilités permettaient également l'injection et l'exécution de code malveillant à chaque démarrage de l'unité d'infodivertissement. Un hacker pouvait ainsi prendre le contrôle du système multimédia, diffuser des sons dans l'habitacle ou accéder à des mécanismes de débogage normalement réservés aux techniciens. La base de données des contacts était stockée en clair, sans aucun chiffrement.
La menace dépasse le cadre des Skoda et pourrait concerner des millions de véhicules du groupe Volkswagen
Selon les estimations de PCAutomotivef, fondées sur les chiffres de ventes publics, plus de 1,4 million de véhicules Skoda et Volkswagen équipés de l'unité MIB3 vulnérable seraient concernés. Ce chiffre pourrait être plus élevé si l'on prenait en compte le marché des pièces de rechange. Des unités d'infodivertissement d'occasion sont facilement trouvables sur des sites comme eBay et pourraient contenir les données personnelles de leurs précédents propriétaires si elles n'ont pas été correctement effacées.
Les conséquences pour les utilisateurs sont potentiellement sérieuses. Un pirate pourrait espionner les déplacements et conversations des occupants, mais aussi prendre le contrôle de certaines fonctions du véhicule. Une vulnérabilité découverte dans l'interface OBD permettait d'arrêter le moteur et certains composants critiques alors que le véhicule roulait à grande vitesse. Cette attaque nécessite un accès physique ponctuel au port OBD.
Les chercheurs ont également trouvé des failles dans le système backend cloud de Skoda. Celles-ci permettaient à un attaquant d'obtenir les pseudonymes des utilisateurs et certaines données du véhicule (kilométrage, durée du trajet récent, vitesse moyenne et maximale) en connaissant uniquement le numéro VIN.
Volkswagen a corrigé ces vulnérabilités après leur signalement par PCAutomotive. Le constructeur assure qu'à aucun moment, il n'y a eu de danger réel pour la sécurité de ses clients ou de ses véhicules. La qualité allemande a tout de même pris un coup dans l'aile.
Sources : TechCrunch, PCAutomotive
