Une vulnérabilité dans le protocole CAN expose la plupart des véhicules actuels
à des attaques DoS via un accès au port OBD-II
Le 2017-08-18 18:07:22, par Patrick Ruiz, Chroniqueur Actualités
L’ICS-CERT a émis (courant juillet) un bulletin de sécurité relatif à une vulnérabilité dans le protocole CAN utilisé par la plupart des véhicules actuels. La faille permet à un attaquant de se livrer à des attaques par déni de service (DoS) sur divers modules via un accès au port OBD-II. Le seul moyen (pour le moment) de s’en prémunir est de contrôler les accès à cette interface. Les fabricants de véhicules pour leur part devront mettre une version améliorée de ce protocole sur pied pour se débarrasser de la vulnérabilité.
« Notre attaque exploite les failles du mécanisme de gestion des erreurs sur le bus CAN », expliquent l’équipe de chercheurs de Trend Micro, Linklayer Labs et de l’université polytechnique de Milan. Les chercheurs exploitent le mécanisme d’isolation des périphériques défectueux (sur le bus CAN) mis en place par les concepteurs du protocole. Sur ce bus, un périphérique qui émet plus de 255 messages d’erreur en est déconnecté (Bus Off) car considéré comme défectueux.
« C’est sur cette faille exactement que repose notre attaque. Elle [l’attaque] déclenche ce comportement en induisant suffisamment d’erreurs de manière à ce qu’un périphérique cible, connecté au bus, soit éjecté de ce dernier », ajoutent les chercheurs. Cette attaque diffère des précédentes preuves de concept par le fait qu’elle ne nécessite pas l’émission d’un paquet entier sur le bus.
Dans le cadre de sa mise en œuvre, les paquets mis en circulation par un périphérique particulier sont repérés (à l’aide de l’identificateur de trame) et le premier bit « persistant » au sein de la trame inversé. Ce processus est répété plus de 255 fois et à chaque fois est équivalent à « tuer » une trame, ce qui provoque l'émission d’un message d’erreur. Le mécanisme d’isolation est alors mis en marche et déconnecte le périphérique émetteur « défectueux » du bus. Un attaquant pourrait ainsi parvenir à empêcher (déni de service), l’ouverture d’une portière ou le déclenchement de l’airbag.
Qu’est-ce qui fait la singularité de cette attaque ?
Les véhicules actuels sont dotés de systèmes de surveillance du bus CAN qui les protègent contre les attaques dites par émission de trame. Cette attaque n’étant pas basée sur ce principe est donc indétectable par ces derniers. La nécessité d’un accès physique au véhicule semble donc être sa faiblesse principale, ce qui pose la question suivante.
Quels sont les autres vecteurs d’attaque possibles ?
De récents développements ont démontré la possibilité d’exploiter des failles dans les systèmes embarqués de divertissement d’un véhicule pour le contrôler via Internet. Cela s’est vu avec une Jeep dont les hackers ont pu prendre le contrôle en reprogrammant le firmware responsable d’ordonnancer les échanges sur le bus CAN. Un attaquant pourrait donc exploiter une faille similaire pour réécrire une version logicielle de cette nouvelle attaque. Elle serait alors exécutable à distance en plus d’être indétectable par les systèmes de protection actuels.
Sources : Trend Micro, ICS-CERT, Video explicative (YouTube)
Et vous ?
Voir aussi :
« Notre attaque exploite les failles du mécanisme de gestion des erreurs sur le bus CAN », expliquent l’équipe de chercheurs de Trend Micro, Linklayer Labs et de l’université polytechnique de Milan. Les chercheurs exploitent le mécanisme d’isolation des périphériques défectueux (sur le bus CAN) mis en place par les concepteurs du protocole. Sur ce bus, un périphérique qui émet plus de 255 messages d’erreur en est déconnecté (Bus Off) car considéré comme défectueux.
« C’est sur cette faille exactement que repose notre attaque. Elle [l’attaque] déclenche ce comportement en induisant suffisamment d’erreurs de manière à ce qu’un périphérique cible, connecté au bus, soit éjecté de ce dernier », ajoutent les chercheurs. Cette attaque diffère des précédentes preuves de concept par le fait qu’elle ne nécessite pas l’émission d’un paquet entier sur le bus.
Dans le cadre de sa mise en œuvre, les paquets mis en circulation par un périphérique particulier sont repérés (à l’aide de l’identificateur de trame) et le premier bit « persistant » au sein de la trame inversé. Ce processus est répété plus de 255 fois et à chaque fois est équivalent à « tuer » une trame, ce qui provoque l'émission d’un message d’erreur. Le mécanisme d’isolation est alors mis en marche et déconnecte le périphérique émetteur « défectueux » du bus. Un attaquant pourrait ainsi parvenir à empêcher (déni de service), l’ouverture d’une portière ou le déclenchement de l’airbag.
Qu’est-ce qui fait la singularité de cette attaque ?
Les véhicules actuels sont dotés de systèmes de surveillance du bus CAN qui les protègent contre les attaques dites par émission de trame. Cette attaque n’étant pas basée sur ce principe est donc indétectable par ces derniers. La nécessité d’un accès physique au véhicule semble donc être sa faiblesse principale, ce qui pose la question suivante.
Quels sont les autres vecteurs d’attaque possibles ?
De récents développements ont démontré la possibilité d’exploiter des failles dans les systèmes embarqués de divertissement d’un véhicule pour le contrôler via Internet. Cela s’est vu avec une Jeep dont les hackers ont pu prendre le contrôle en reprogrammant le firmware responsable d’ordonnancer les échanges sur le bus CAN. Un attaquant pourrait donc exploiter une faille similaire pour réécrire une version logicielle de cette nouvelle attaque. Elle serait alors exécutable à distance en plus d’être indétectable par les systèmes de protection actuels.
Sources : Trend Micro, ICS-CERT, Video explicative (YouTube)
Et vous ?
Voir aussi :
-
Etre_LibreMembre éprouvéS'il faut l'accès physique au port OBD-II, "rien à signaler" finalement...le 18/08/2017 à 21:21
-
adumeratCandidat au Clubavec une detection d'erreur sur bit collé, l'accès 'physique' n'est pas necessaire...une bonne petite impulsion au bon moment, au bon endroit, pourra atteindre l'objectif. La securité, c'est l'affaire de tous...de tous les autres, comme d'habitudele 22/08/2017 à 15:01
-
champsy_devMembre avertiPar les temps qui court elle est pas sympa cette faille.Un attaquant pourrait ainsi parvenir à empêcher (déni de service), l’ouverture d’une portière ou le déclenchement de l’airbag.le 18/08/2017 à 20:52
-
chrtopheResponsable SystèmesIl doit être possible d'atteindre l'ordinateur de bord via des périphériques externes :
- clé électronique
- Bluetooth
Voir le cas Jeep cherokee :
https://www.youtube.com/embed/MK0SrxBC1xsle 19/08/2017 à 9:10 -
tibiduleMembre du ClubEt que penser des "dispositifs connectés" d'aide à la conduite (soi disant) comme celui d'Allianz par exemple, qui sont sur la prise ODB et en lien avec le monde extérieur (i.e. en dehors de la voiture). Ils ne sont peut être pas dénués de faille de sécurité.
https://www.allianz.fr/assurances-au...connectee.html (dsl pour la pub)
Ou encore des dispositifs de "liaison permanente" disponibles sur bon nombre de véhicules (Mercedes, BMW, Audi, VW, ...) en lien direct avec le bus CAN et ayant eux aussi un lien avec le monde extérieur (les serveurs de la marque).
Cette collusion entre un monde "a priori" étanche et "safe" (la voiture) et l'extérieur où les failles sont légions est inquiétante.le 20/08/2017 à 11:47 -
athlon64Membre confirméBonjour,
ouais, c'est pareil que dire qu'il y a des vulnérabilités avec le bus USB, puisque n'importe quel individu peut rien qu’avec une clé usb killer, détruire ta machine, même éteinte
La sécurité parfaite ça n’existe pas, le CAN est déjà un bus remarquable, on peut pas tout lui demander, on peut même encore fragiliser la sécurité avec trop de correctifs...
Déjà si on réussit à accéder au port OBD-II (qui est lui même à l’intérieur de la voiture), continuer à parler de vulnérabilité du protocole CAN, c'est comme un individu qui sort de chez lui en laissant portes/fenêtres ouvertes et se demande si son armoire en bois à l’intérieur est fermée à un ou deux tours...
La seule leçon à tirer de tout ça est de protéger l'accès au port OBD-II à clé ?le 04/10/2017 à 18:09