Un chercheur en sécurité a révélé que des failles dans le portail de concession en ligne d’un constructeur automobile exposaient les informations privées et les données des véhicules de ses clients, et auraient pu permettre à des pirates informatiques de prendre le contrôle à distance de n’importe quel véhicule de ses clients.
Eaton Zveare, qui travaille en tant que chercheur en sécurité chez Harness, une entreprise de livraison de logiciels, a déclaré à TechCrunch que la faille qu’il a découverte permettait la création d’un compte administrateur qui accordait un accès illimité au portail web centralisé du constructeur automobile non nommé.
Avec cet accès, un pirate informatique malveillant aurait pu consulter les données personnelles et financières des clients du constructeur automobile, suivre les véhicules et inscrire des clients à des fonctionnalités qui permettent aux propriétaires, ou aux pirates, de contrôler certaines fonctions de leur voiture de n’importe où.
Zveare a déclaré qu’il n’avait pas l’intention de divulguer le nom du vendeur, mais a précisé qu’il s’agissait d’un constructeur automobile largement connu avec plusieurs sous-marques populaires.
Lors d’une interview avec TechCrunch avant sa présentation à la conférence de sécurité Def Con à Las Vegas le dimanche, Zveare a déclaré que les bugs mettaient en lumière la sécurité de ces systèmes de concession, qui accordent à leurs employés et associés un large accès aux informations des clients et des véhicules.
Zveare, qui a déjà trouvé des bugs dans les systèmes clients des constructeurs automobiles et les systèmes de gestion des véhicules, a découvert la faille plus tôt cette année dans le cadre d’un projet de week-end, a-t-il indiqué à TechCrunch.
Il a expliqué que bien que les failles de sécurité dans le système de connexion du portail aient été difficiles à trouver, une fois trouvées, les bugs lui ont permis de contourner entièrement le mécanisme de connexion en lui permettant de créer un nouveau compte « admin national ».
Les failles étaient problématiques car le code défectueux se chargeait dans le navigateur de l’utilisateur lors de l’ouverture de la page de connexion du portail, permettant à l’utilisateur – dans ce cas, Zveare – de modifier le code pour contourner les vérifications de sécurité de connexion. Zveare a affirmé à TechCrunch que le constructeur automobile n’avait trouvé aucune preuve d’exploitation passée, suggérant qu’il avait été le premier à le découvrir et à le signaler au constructeur.
Une fois connecté, le compte accordait l’accès à plus de 1 000 concessionnaires du constructeur automobile à travers les États-Unis, a-t-il déclaré à TechCrunch.