Cybersécurité : Cisco découvre une faille qui permet de contrôler à distance une voiture connectée

Une équipe de chercheurs en cybersécurité de CISCO, baptisée CX APT a détecté une faille dans un système d’exploitation conçu par la société  britannique ARM qui équipe en grande majorité les véhicules connectés. Particulièrement critique, celle-ci permettrait de piloter les véhicules concernés à distance. Un correctif est prévu pour le mois d’août 2020.

L’un des scénarios d’attaque les plus préoccupants de la cybersécurité des véhicules connectés vient de refaire surface ces derniers jours. Une équipe de chercheurs de la Customer Experience Assessment & Penetration Team (CX APT) du géant Cisco a découvert, fin mai, une faille permettant de contrôler un véhicule à distance – ce qui n’a pas manqué de rappeler la démonstration aussi fascinante qu’horrifiante d’une Jeep Cherokee pilotée à distance par deux chercheurs en sécurité et un journaliste de Wired en 2015.

La vulnérabilité (CVE-2020-6096) se situe dans l’implémentation d’une bibliothèque de programmation (la libc de GNU) utile pour programmer une partie des systèmes d’exploitation Linux ARMv7, présents dans « 90% des systèmes de navigation des véhicules connectés », selon Andrew Tierney, de la société britannique de tests de pénétration Pen Test Partners, interrogé par SC Magazine UK.

Un serveur web embarqué rendu accessible via le Wi-Fi du véhicule

Plus précisément, c’est l’implémentation de la fonction mémoire - memcpy() – dans l’OS ARMv7 qui peut être corrompue par un individu malveillant à l’issue d’un piratage complexe en quatre étapes, impliquant notamment d’injecter du code malveillant lorsque l'utilisateur envoie une requête à cette fonction mémoire et détaillé dans une publication du 21 mai de l’équipe de cyber-renseignement (threat intelligence) Talos, appartenant également au groupe Cisco. En agissant ainsi, il est alors possible d’exploiter à des fins malveillantes le système d’exploitation, notamment pour prendre le contrôle à distance du véhicule.

Cette faille a été trouvée lors d’un test de pénétration, réalisé par l’équipe de chercheurs CX APT – issues de trois acquisitions par le groupe Cisco (NDS, Neohapsis, et Portcullis) – sur un véhicule connecté, qui a mis en lumière l’exposition d’un serveur web embarqué au réseau Wi-Fi du véhicule connecté. Les chercheurs ont alors identifié l’implémentation de la  fonction memcpy() comme le responsable de cette exposition.

Une faille qui touche aussi les équipements industriels

« La bonne nouvelle, c'est que cette vulnérabilité a été découverte avant que des acteurs malveillants aient eu la possibilité de l'exploiter », s’enthousiasme Niels Schweisshelm, responsable du programme technique au sein de la plateforme de tests de pénétration HackerOne. Plus de peur que de mal, donc. « CX APT a travaillé avec Cisco Talos pour divulguer la vulnérabilité et les responsables de la bibliothèque libc prévoient de publier une mise à jour qui corrige cette vulnérabilité en août », précise Talos dans son billet de blog.

Mais Andrew Tierney alerte tout de même sur un point : « Bien qu'il s'agisse d'un bug intéressant qui, étonnamment, n'a jamais été repéré auparavant, nous ne voyons pas pourquoi Talos met en avant ce problème comme un problème de "véhicule connecté". Cette faille concerne également une large gamme de systèmes IoT et autres systèmes embarqués, y compris les machines industrielles connectées. Nous craignons que, dans l’industrie et dans l’univers des objets connectés en général, de nombreux systèmes embarqués plus anciens et peut-être non pris en charge ne soient jamais corrigés. »

 

Sources : SC Magazine UK, Veille technologique