« Notre attaque exploite les failles du mécanisme de gestion des erreurs sur le bus CAN », expliquent l’équipe de chercheurs de Trend Micro, Linklayer Labs et de l’université polytechnique de Milan. Les chercheurs exploitent le mécanisme d’isolation des périphériques défectueux (sur le bus CAN) mis en place par les concepteurs du protocole. Sur ce bus, un périphérique qui émet plus de 255 messages d’erreur en est déconnecté (Bus Off) car considéré comme défectueux.
« C’est sur cette faille exactement que repose notre attaque. Elle [l’attaque] déclenche ce comportement en induisant suffisamment d’erreurs de manière à ce qu’un périphérique cible, connecté au bus, soit éjecté de ce dernier », ajoutent les chercheurs. Cette attaque diffère des précédentes preuves de concept par le fait qu’elle ne nécessite pas l’émission d’un paquet entier sur le bus.
Dans le cadre de sa mise en œuvre, les paquets mis en circulation par un périphérique particulier sont repérés (à l’aide de l’identificateur de trame) et le premier bit « persistant » au sein de la trame inversé. Ce processus est répété plus de 255 fois et à chaque fois est équivalent à « tuer » une trame, ce qui provoque l'émission d’un message d’erreur. Le mécanisme d’isolation est alors mis en marche et déconnecte le périphérique émetteur « défectueux » du bus. Un attaquant pourrait ainsi parvenir à empêcher (déni de service), l’ouverture d’une portière ou le déclenchement de l’airbag.
Qu’est-ce qui fait la singularité de cette attaque ?
Les véhicules actuels sont dotés de systèmes de surveillance du bus CAN qui les protègent contre les attaques dites par émission de trame. Cette attaque n’étant pas basée sur ce principe est donc indétectable par ces derniers. La nécessité d’un accès physique au véhicule semble donc être sa faiblesse principale, ce qui pose la question suivante.
Quels sont les autres vecteurs d’attaque possibles ?
De récents développements ont démontré la possibilité d’exploiter des failles dans les systèmes embarqués de divertissement d’un véhicule pour le contrôler via Internet. Cela s’est vu avec une Jeep dont les hackers ont pu prendre le contrôle en reprogrammant le firmware responsable d’ordonnancer les échanges sur le bus CAN. Un attaquant pourrait donc exploiter une faille similaire pour réécrire une version logicielle de cette nouvelle attaque. Elle serait alors exécutable à distance en plus d’être indétectable par les systèmes de protection actuels.
Sources : Trend Micro, ICS-CERT, Video explicative (YouTube)
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Le Royaume-Uni établit des principes de cybersécurité pour les véhicules connectés et autonomes pour mieux les protéger contre les cyberattaques