La marque Subaru a procédé à une mise à jour de son système Starlink, visant à corriger diverses failles de sécurité… dont la possibilité pour des utilisateurs malveillants d'accéder à l'historique de localisation des véhicules.

Un (gros) bug a été corrigé du côté de chez Subaru © Sgcdesignco / Unsplash
Un (gros) bug a été corrigé du côté de chez Subaru © Sgcdesignco / Unsplash

En effet, les chercheurs en sécurité Sam Curry et Shubham Shah ont mis en lumière un grave problème de sécurité affectant le système Starlink de la marque. Des failles inhérentes à un site web destiné aux employés de Subaru ont été débusquées. Ce serait la réinitialisation des mots de passe qui aurait pu permettre d'accéder à divers comptes internes et ainsi de manipuler, à distance, les paramètres des véhicules.

Un (gros) souci de sécurité chez Subaru

C'est Sam Curry, ayant acheté une Subaru à sa mère, qui décida d'examiner les fonctions connectées de cette Impreza 2023, tout en cherchant des moyens de les exploiter. C'est alors que lui et Shubham Shah ont rapidement découvert des vulnérabilités dans le portail web de Subaru. Ces dernières permettaient de détourner la capacité de déverrouiller la voiture à distance, de klaxonner et de mettre le contact, tout en réattribuant le contrôle de ces fonctions à n'importe quel téléphone ou ordinateur.

Mais le plus ennuyeux pour Sam Curry, c'est d'avoir découvert que ces mêmes failles pouvaient également permettre à des utilisateurs mal intentionnés de localiser précisément le véhicule. Une localisation en temps réel, mais aussi la possibilité d'accéder à un historique complet qui permet de visualiser toutes les positions de la voiture durant toute l'année où sa mère l'avait donc utilisée.

Subaru, mais aussi de nombreux autres constructeurs ?

La carte des déplacements de la voiture était si précise et détaillée que Curry a pu voir les visites de sa mère chez son médecin, les excursions chez ses amies, et même la place de parking exacte sur laquelle celle-ci se garait chaque fois qu'elle se rendait à l'église. « Qu'il s'agisse de tromper sa femme, de se faire avorter ou d'appartenir à un groupe politique, il y a un million de scénarios dans lesquels on peut utiliser cette arme contre quelqu'un », explique Sam Curry.

Le bug a notamment permis d'accéder à un historique complet des déplacements effectués avec le véhicule © Sam Curry
Le bug a notamment permis d'accéder à un historique complet des déplacements effectués avec le véhicule © Sam Curry

Selon les deux experts en sécurité, cette trouvaille aurait pu permettre de pirater et suivre des millions de Subaru, ce qui, selon eux, aurait permis à d'éventuels pirates de cibler n'importe quel véhicule de la société équipé de Starlink aux États-Unis, au Canada ou au Japon. Tous deux ont fait part de leurs découvertes à Subaru à la fin du mois de novembre, et le constructeur a très rapidement corrigé les failles de sécurité en question.

Toutefois, les chercheurs avertissent que les vulnérabilités web de Subaru ne sont que les dernières d'une longue série de failles web similaires qu'eux-mêmes et d'autres chercheurs en sécurité ont pu découvrir, et qui toucheraient plus d'une douzaine de constructeurs automobiles, dont Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota, et bien d'autres encore…

Source : SamCurry.net