La moitié des voitures dotées de systèmes d'entrée sans clé en 2019 reçoivent une mauvaise cote de sécurité
Pour leur vulnérabilité aux vols

Le , par Bill Fassinou

467PARTAGES

5  0 
Au Royaume-Uni les systèmes d’entrée sans clé qu’utilisent certains constructeurs de voitures seraient très vulnérables et facilement contournables par des voleurs. C’est du moins ce qu’a indiqué cette semaine le centre de recherche anglais Thatcham Research. Une étude réalisée par le centre a montré que la moitié des nouvelles voitures dotées du système de démarrage sans clé lancées cette année peuvent être facilement volées par des criminels qui utilisent un équipement de relais pour détourner le code d’entrée de la voiture. Thatcham Research est un centre de recherche automobile des assureurs automobiles. Le centre a pour objectif principal de contenir ou de réduire le coût des réclamations d’assurance automobile tout en maintenant les normes de sécurité. Il a publié cette semaine un index de voitures qui disposent d’un système d’entrée sans clé jugé médiocre en raison de leur vulnérabilité à un type d’attaque basé sur des équipements électroniques.

Au fur et à mesure que les systèmes embarqués dans les voitures deviennent de plus en plus modernes, les risques de vols de voitures utilisant des équipements ou des techniques informatiques augmentent également. L’une des dernières innovations utilisée par certains constructeurs de voitures depuis plusieurs années déjà est le système de démarrage sans clé (Passive Key Entry System, PKES). Avec ce système, l’automobiliste a juste à appuyer sur un bouton pour démarrer et arrêter la voiture ou il lui suffit de l'avoir en poche en s’approchant du véhicule pour que ce dernier puisse être ouvert et démarré. Seulement, les voleurs de voitures ont, peut-on le dire, vite trouvé un moyen pour hacker ce système et pouvoir voler ces types de voitures sans laisser aucune trace d’effraction.


En effet, la voiture émet en permanence un signal de présence destiné à la clé sans contact. Si cette dernière est à proximité de la voiture, elle renvoie un message de déverrouillage. Et si elle est à l’intérieur de la voiture, elle déverrouille le bouton de démarrage. Cela dit, le hack du système semble ne pas être très difficile. Pour le réaliser, les voleurs utilisent une attaque du nom de « relay attack » ou attaque par relais en français. Une attaque par relais est un type d'attaque informatique semblable à l'attaque de l’homme du milieu et l'attaque par rejeu dans lequel un attaquant ne fait que relayer mot pour mot un message d'un expéditeur vers un récepteur valide. Le principe de l'attaque par relais établit que deux victimes croient communiquer directement entre elles et ne s'aperçoivent pas qu'un système pirate relaie leur dialogue.

Dans le cas des systèmes de démarrage sans clé, pour évaluer la proximité de la clé par rapport à la voiture, le système se base sur l’amplitude du signal de présence. On peut donc dire que plus le signal est fort et plus le système estime que votre voiture et votre clé sont proches les unes des autres. Ainsi, pour hacker la voiture et la tromper, l’idée est d’utiliser une paire d’antennes munies d’amplificateurs pour relayer le signal entre la voiture et la clé sans contact. Le système PKES n’étant pas doté de capacités cognitives estime que les conditions de proximité sont remplies, provoquant l’envoi des messages de déverrouillage. Jetez un coup d’oeil à la vidéo ci-dessous pour voir comment les voleurs ont procédé pour voler une voiture avec un système de démarrage sans clé en 2017.


Partant de là, et à la suite d'un nombre grandissant de vols de ce type de voitures depuis plusieurs années, le centre de recherche Thatcham Research a préféré réaliser une évaluation et établir un index des voitures du genre lancées cette année au Royaume-Uni pour présenter aux usagers les modèles de voitures jugés trop vulnérables afin de leur éviter de tomber dans le piège du vol et également leur fournir quelques mesures de sécurité s’ils possèdent une voiture dotée d’un système de démarrage sans clé. L’index présenté par le centre de recherche montre que les modèles 2019 de Ford Mondeo, de Hyundai Nexo, de Kia ProCeed, de Lexus UX, de Porsche Macan et de Toyota Corolla et quelques autres modèles avaient tous été jugés médiocres en raison de leur vulnérabilité à ce type de vol.

Cette conclusion est basée sur une échelle de notes allant de “inacceptable” à “supérieur” en passant par “pauvre” (ou mauvaise). La Toyota Corolla, la Ford Mondeo, la Hyundai Nexo, et la Porsche Macan ont eu une mauvaise note tandis que la Jaguar XE et l’Audi e-tron ont eu la meilleure note. Au total, Thatcham Research a évalué et noté onze voitures. Vous pouvez consulter la liste complète ainsi que d’autres informations sur le site officiel du centre.
Thatcham a fourni pour l’occasion quelques conseils simples pour éviter de se faire voler son auto devant son domicile. Il vous conseille de stocker votre clé loin des entrées de votre maison pour que le voleur ne puisse pas capter son signal depuis l'extérieur. Il vous recommande également de laisser si possible votre clé dans une mini cage de Faraday ou dans n'importe quoi qui permettrait de bloquer son signal (un réfrigérateur par exemple).

En outre, Thatcham vous recommande aussi de vous renseigner auprès de votre concessionnaire sur une éventuelle possibilité de désactiver la clé lorsque vous n’allez pas vous servir de votre voiture pour un certain temps. Quelques constructeurs proposent maintenant des clés qui se mettent en veille au bout d'un certain temps, ce qui permet d’empêcher les voleurs de se servir de leur signal pour relayer le signal de la clé et s'emparer de la voiture.

La liste des voitures vulnérables

Source : Thatcham Research

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Gartner : les dépenses en sécurité vont dépasser 124 milliards de $ en 2019 à cause des risques de sécurité et les changements en industrie

Intel annonce trois nouvelles vulnérabilités affectant ses processeurs qui pourraient permettre d'accéder aux données de la mémoire de l'ordinateur

DEFCON 2018 : la vulnérabilité des machines à voter est de nouveau démontrée, quelques minutes ont suffi aux pirates pour en prendre le contrôle

Plus de 10 000 vulnérabilités ont déjà été découvertes durant le premier semestre 2018, d'après un rapport qui s'attend à la même tendance au 2S18

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 25/03/2019 à 15:55
Du coup c'est bien en médiatisant autant que possible cette info que cela peu obliger les constructeurs à se bouger...
3  0 
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 24/03/2019 à 22:16
Le "mouse jacking" explose tout simplement !

Pas besoin de sortie de polytehc pour utiliser une serrure "physique" sur sa voiture. En cas de panne de la clef t'as pas l'aire con si tu peux plus l'ouvrir
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 25/03/2019 à 8:56
Bonjour,

C'est bien joli leur étude, mais en fait des chercheurs ont déjà monté de telles attaques en... 2011 ! (une présentation sur le sujet ici : http://s3.eurecom.fr/~aurel/papers/P..._slides_FR.pdf )

Alors je ne dis pas qu'en remettre une couche ne sert à rien, mais bon, ce n'est pas la peine de faire croire que c'est novateur !
1  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 25/03/2019 à 13:15
Citation Envoyé par gangsoleil Voir le message
Bonjour,

C'est bien joli leur étude, mais en fait des chercheurs ont déjà monté de telles attaques en... 2011 ! (une présentation sur le sujet ici : http://s3.eurecom.fr/~aurel/papers/P..._slides_FR.pdf )

Alors je ne dis pas qu'en remettre une couche ne sert à rien, mais bon, ce n'est pas la peine de faire croire que c'est novateur !
Et justement en 8 ans ils auraient pas pu améliorer la sécurité pour ce genre de systèmes ?
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 25/03/2019 à 15:35
Citation Envoyé par Pierre Louis Chevalier Voir le message
Et justement en 8 ans ils auraient pas pu améliorer la sécurité pour ce genre de systèmes ?
Mais il y a 8 ans, lorsque l'article est sorti, les solutions étaient déjà connues, et certains constructeurs l'appliquaient d'ailleurs -- pas forcément les voitures les plus chères d'ailleurs.

Il est triste de voir que ça n'a pas évolué, mais c'est un peu le problème général de la sécurité en ce moment : c'est un centre de coût, donc on zappe. Tant pis si la marque perd en image, ou bien s'il y a une faille avec une immense fuite.
1  0 
Avatar de jeanluc75
Membre à l'essai https://www.developpez.com
Le 27/03/2019 à 0:06
les constructeurs on besoin de solution passe-partout,
quand vous avez 2000 voitures neuves sur un parc les employés
ne peuvent jongler avec 2000 carte main-libre enfermés
dans un coffre, il faut bien avoir une carte universel ou
une autre astuce d'ingénieur tenu secret (soi-disant).
1  0 
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 25/03/2019 à 9:35
encore et toujours le même problème ! Des constructeurs qui ne font pas les efforts nécessaires par manque de sanctions. Si les assureurs faisaient payer ces vols aux constructeurs auto, ces derniers auraient vite fait de renforcer la sécurité. Au lieu de cela, ce sont les clients qui voient leur assurance auto augmenter...
0  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 25/03/2019 à 12:39
Citation Envoyé par herr_wann Voir le message
Au lieu de cela, ce sont les clients qui voient leur assurance auto augmenter...
Même pas : Dans la plupart des contrats d'assurance le remboursement concernant un vol implique qu'il y ait eu effraction (la serrure soit forcée, une vitre cassée, etc...) donc avec le mouse jacking pas d'effraction, pas de remboursement... T'a plus qu'a te racheter une caisse (et riveter deux pattes et un cadenas sur la portière comme Mr Bean)....
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 27/03/2019 à 11:26
Citation Envoyé par jeanluc75 Voir le message
les constructeurs on besoin de solution passe-partout,
quand vous avez 2000 voitures neuves sur un parc les employés
ne peuvent jongler avec 2000 carte main-libre enfermés
dans un coffre, il faut bien avoir une carte universel ou
une autre astuce d'ingénieur tenu secret (soi-disant).
Et pourquoi ne pourraient-ils pas ? Comment faisaient-ils lorsque les clés n'étaient pas sans-contact ? Tu vas me dire qu'il y a un pass qui ouvre toutes les voitures d'une marque (ou même un modèle), et qu'il n'a jamais fuité (contrairement aux clés PTT par exemple) ?
0  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 27/03/2019 à 13:42
Citation Envoyé par gangsoleil Voir le message
Et pourquoi ne pourraient-ils pas ? Comment faisaient-ils lorsque les clés n'étaient pas sans-contact ? Tu vas me dire qu'il y a un pass qui ouvre toutes les voitures d'une marque (ou même un modèle), et qu'il n'a jamais fuité (contrairement aux clés PTT par exemple) ?
En effet cela existe.
Ce sont des clés qui s'adaptent automatiquement aux formes de la serrure.
Elles sont propre à la marque à ce que je sache (sans doute qu'il y a des parties qui ne doivent surtout pas s'adapter aux formes de la serrure sous peine de l'empêcher de tourner).

Reste ensuite la partie démarreur qui cause avec la clé, sans ça on ouvre la voiture mais on risque pas de démarrer le moteur.
Je ne sais pas si c'est le calculateur qui est reprogrammé avant livraison (et donc une signature de démarreur unique en usine) ou bien s'il y a une signature constructeur qui leur permet de démarrer n'importe quelle voiture.
Ou encore s'ils ne sont pas obligé de se connecter sur l'interface de debug pour déverrouiller le démarreur.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web