L'entreprise de cybersécurité Pen Test Partners a mis au jour une faille majeure découverte dans les systèmes d'alarme automobiles Viper et Pandora. En cause : une vulnérabilité au niveau de l'API.
Une faille qui fait tâche. Viper et Pandora, spécialisée dans les systèmes d'alarme automobiles, ont découvert à leur dépens la présence d'une vulnérabilité au sein de leur boîtier, installé dans plus de trois millions de voitures à travers le monde. Boîtier grâce auquel les utilisateurs ont accès à des fonctionnalités diverses, comme la géolocalisation de leur automobile et le déverrouillage des portes à distance.
Un procédé simple et efficace
Pen Test Partners, qui a fait de la cybersécurité son fer de lance, a ainsi découvert une brèche informatique nichée au niveau de l'API, incapable de reconnaître une requête non autorisée. De ce fait, les « hackers » ont tout bonnement lancé une procédure de réinitialisation de mot de passe à renvoyer sur une adresse email indiquée, pour se connecter ensuite sur le compte utilisateur de la cible.Les chercheurs informatiques ont ensuite pu effectuer toute une série de manœuvres, comme la prise de contrôle de l'application d'alarme intelligente à distance, le tracking du véhicule en temps réel, l'activation de l'alarme, le déverrouillage des portes et même l'arrêt du moteur. Découverte en octobre 2018, cette anomalie a depuis été corrigée par les deux compagnies concernées.
La faille réparée
« Après investigations, nous avons conclu que cette vulnérabilité correspond à un résultat non-intentionnel d'une récente mise à jour de notre système effectuée par notre fournisseur de services », a de son côté déclaré Viper.Pen Test Partners a aussi décelé une autre faille sur les alarmes intelligentes du Britannique Clifford, elle aussi réparée depuis, selon la BBC.
