Près d'un demi-million de serveurs Kubernetes restent ouverts à Internet

Des millions de voitures Honda pourraient être menacées de vol après la révélation d'un nouveau risque de piratage à distance.

Les chercheurs en sécurité du Star-V Lab ont découvert une technique qui permet à quiconque de déverrouiller un véhicule, d'ouvrir des portes et même de démarrer le moteur à l'aide d'une radio portable en raison d'une vulnérabilité dans le porte-clés de la voiture.

Plusieurs grands modèles Honda sortis entre 2012 et 2022 sont apparemment affectés par la faille, notamment l'Accord, la Civic, le C-RV et le X-RV.

fuite à distance honda

Les chercheurs ont fait équipe avec le journaliste Rob Stumpf de The Drive (ouvre dans un nouvel onglet) pour présenter la vulnérabilité, qu'ils ont surnommée Rolling-PWN.

Le problème est contenu dans le mécanisme de code tournant, y compris le système d'entrée sans clé (également connu sous le nom de porte-clés) pour empêcher les attaques répétées de l'homme du milieu.

L'équipe a constaté que chaque fois que le bouton du porte-clés est enfoncé, la probabilité que certains codes soient acceptés pour permettre l'accès au véhicule augmente. L'équipe note que le récepteur embarqué accepte une "fenêtre coulissante de codes" principalement pour éviter les pressions accidentelles sur les touches.

A chaque appui sur le bouton, le compteur de synchro rolling code est incrémenté, ainsi l'envoi de certaines commandes en séquence consécutive resynchronise le compteur en l'ouvrant aux commandes précédentes permettant l'accès au véhicule.

"Le bogue Rolling-PWN est une vulnérabilité sérieuse", a écrit l'équipe dans un article de blog (ouvre dans un nouvel onglet) décrivant leurs découvertes. "Nous l'avons trouvé dans une version vulnérable du mécanisme de code tournant, qui est implémenté dans un grand nombre de véhicules Honda."

Les chercheurs notent que toute personne possédant une marque de véhicule spécifique pourrait être à risque, et les utilisateurs peuvent même ne pas être en mesure de détecter si la faille a été utilisée contre eux.

Ils avertissent également que la menace pourrait affecter les véhicules d'autres marques, et Honda ne semble actuellement pas avoir de solution ni même remarquer le problème. Les enquêteurs disent qu'ils ont essayé de déposer un rapport, mais n'ont pas trouvé de moyen approprié de le faire, ils ont donc contacté le service client de Honda.

Un porte-parole de Honda a déclaré à Vice (ouvre un nouvel onglet) que le rapport n'était pas crédible et que les allégations étaient sans fondement.

"Les télécommandes de véhicule référencées sont équipées d'une technologie de code tournant qui ne permettrait pas la vulnérabilité décrite dans le rapport", a déclaré la société.

"De plus, les vidéos présentées comme preuve qu'il n'y a pas de code tournant n'incluent pas de preuves suffisantes pour étayer les affirmations", a ajouté la société.

Via BleepingComputer (Ouvre dans un nouvel onglet)

Share