Le système de déverrouillage à distance de Honda est mis en difficulté : des chercheurs en sécurité ont trouvé un moyen de déverrouiller et de démarrer les véhicules à distance.
Tous les véhicules Honda construits entre 2012 et 2022 pourraient être concernés par cette vulnérabilité.
Une faille inquiétante pour vos véhicules Honda
La vulnérabilité s'appelle Rolling PWN : en utilisant du matériel radio, on enregistre un signal original provenant d'une vraie clé de voiture, puis on le diffuse vers un véhicule voiture - une attaque par rejeu. Cette méthode d'intrusion est généralement anticipée par les constructeurs. Ces derniers créent des clés de voiture qui émettent un signal unique à chaque verrouillage et déverrouillage, et le même signal ne fonctionne pas à répétition.
Sauf que visiblement, ce système n'a pas été mis en place sur toutes les Honda, notamment les Honda Civic de 2016 à 2020. En effet, certaines clés utilisent un signal non chiffré et qui ne change pas, donc facile à dupliquer. Un tel signal peut être « enregistré » à 30 mètres de distance.
En outre, d'autres modèles Honda mieux protégés sont eux aussi vulnérables. Même avec des clés à signal unique, les chercheurs ont réussi à déverrouiller les véhicules. Cette dernière faille est légèrement plus complexe.
La réponse de Honda
La faille permettant de contourner le signal à usage unique est basée sur une resynchronisation de la base de données de signaux de la voiture. La faille s'appuie sur une fenêtre de tolérance de la base de données qui permet d'accepter des signaux qui n'arrivent pas dans l'ordre chronologique, au cas où l'utilisateur déverrouille la voiture deux fois, ou se trouverait trop loin du véhicule. Il suffit alors de répliquer une séquence de quatre signaux uniques, dans l'ordre, pour confondre le système de déverrouillage et ouvrir la voiture. Du moins, c'est ce que montre la vidéo postée par Rob Stumpf, qui a réussi à déverrouiller et à démarrer sa voiture depuis un équipement radio.
Honda a nié l'existence de cette vulnérabilité, disant que des rapports similaires avaient été présentés sans preuve suffisante. Le rapport ne leur parait pas « crédible » et le constructeur a simplement demandé aux chercheurs de contacter le service client.
Source : The Verge
