Une équipe de chercheurs en cybersécurité ont trouvé plusieurs vulnérabilités au sein même des ordinateurs de bord BMW. Ces détections sont le fruit d’un long audit mené par la société Keen Security Lab, succursale de Tencent, entre janvier 2017 et février 2018.
Au total, 14 failles ont été identifiées affectant des modèles à partir de 2012. Elles ont été transmises au groupe BMW au début du mois de mars. Le constructeur ayant commencé à corriger ces diverses vulnérabilités, l’équipe de chercheurs chinois a pu publier son rapport d’une vingtaine de pages. Il décrit l’ensemble de leurs recherches, sans pour autant livrer des détails techniques critiques. L’équipe de Keen Security Lab projette de publier la totalité du document remis à BMW au début de l’année 2019 lorsque toutes les failles auront été corrigées.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
En détail, ces 14 failles sont réparties en trois points. Il y en a tout d’abord 8 qui concernent le système de divertissement (musique et médias) connecté à internet. Ensuite, 4 affectent les Telematics Control Unit (TCU) qui servent à fournir des services de téléphonie (assistance, appels, déverrouillage des portes à distance). Enfin, les 2 dernières sont liées au Central Gateway Module (CGM) qui a pour rôle de recevoir les informations des deux points précédents pour les redistribuer à d’autres unités des modèles BMW.
Six vulnérabilités peuvent être exploitées à distance pour compromettre les fonctions du véhicule, dont une sur une courte distance via Bluetooth ou sur une longue distance via par le réseau cellulaire, même lorsque le véhicule est conduit.
Schéma d’intrusion à distance en utilisant un le réseau cellulaire
Pour le constructeur, il s’agit « de loin le test le plus complet et le plus complexe jamais effectué sur les véhicules du groupe BMW par un tiers. »
Il est intéressant de voir une marque aussi importante laisser un tiers communiquer sur le sujet. De plus, ces failles soulèvent une idée que si un fabricant de la trempe de BMW a de l’électronique faillible, qu’en serait-il pour Renault, Peugeot, Nissan, et bien d’autres marques ?
Plus il y a d’électronique, plus le risque augmente. Logique.