Le pirate est parti avec votre voiture connectée !
Toute l’actu cyber de la semaine, présentée par un expert. On revient notamment sur le piratage de voiture KIA, la compromission du système de surveillance légale américain par les chinois ou la création de smartglass intrusive…
Piratage des KIA connectés à partir de leur plaque d'immatriculation
Des chercheurs en sécurité ont identifié plusieurs vulnérabilités dans les services de KIA. L'API permet d'ouvrir le véhicule ou d'extraire des données personnelles à partir de la plaque d'immatriculation. Les vulnérabilités ont été corrigées avant la publication de cet article. Les équipes de KIA ont annoncé ne pas avoir eu d'attaques identifiées.
Pourquoi c'est important ?
En mettant à disposition des services permettant le contrôle de son véhicule via son smartphone, KIA a voulu simplifier la vie de ses utilisateurs. Malheureusement le projet a été déployé sans analyse de risques ni pentest. Les vulnérabilités étant très classiques, on peut s'attendre à mieux de la part d'un grand groupe automobile. Les objets connectés sont souvent les derniers objets audités. Il faut penser que c'est le cas aussi pour les voitures. En espérant que les autres marques feront attention à cet événement pour leur propre système.
Le système d'interception légale américain piraté par les chinois
Des hackers liés à la Chine ont récemment infiltré plusieurs fournisseurs de services internet aux États-Unis, selon des sources proches du dossier. Cette campagne de piratage, surnommée "Salt Typhoon", visait à accéder à des informations sensibles et à établir une présence au sein des infrastructures de réseaux américains. Les enquêteurs examinent si les pirates ont pu accéder aux routeurs de Cisco Systems, des composants essentiels du réseau. Microsoft enquête également sur cette intrusion pour déterminer quelles informations sensibles ont pu être compromises. Cette attaque s'inscrit dans une série d'intrusions similaires attribuées à la Chine ces dernières années, suscitant de vives inquiétudes parmi les responsables américains.
Pourquoi c'est important ?
Les gouvernements ou régulateurs poussent souvent pour mettre en place des backdoors dans les systèmes de chiffrement ou de communication. Ils veulent être en mesure de lire n'importe quel message afin de faciliter les enquêtes de police. Or ces situations démontrent que le niveau de sécurité abaissé permet à n'importe quel opérateur de l'utiliser à mauvais escient.
Création de lunette connectée intrusive
Des étudiants d'Harvard ont transformé des lunettes connectées afin d'identifier les passants dans la rue. A partir des photos prisent par les lunettes, un algorithme de machine learning cherche à identifier la personne. Puis quand la personne est identifiée avec un ratio de confiance suffisant, elle va rechercher les informations personnelles de la personne.
Pourquoi c'est important ?
Tirée tout droit d'un film de science-fiction, la technologie est maintenant présente dans la main du grand public. Enfin pas tout à fait, il s'agit d'un prototype. Cependant, si les étudiants ont pu assembler ce concept aussi facilement, on peut se dire que les gouvernements l'ont depuis longtemps à disposition. En tout cas plus de risques de tomber sur un inconnu dans la rue !