Votre compte
Jeudi 27 Avril 2017, 01:42 Le J2R.com, le site du Journal de la Rechange et de la Réparation : actualités auto, après-vente, services, équipementiers.
Accès direct au menu Accès direct au contenu de la page
Alerté par Argus Cyber Security, Bosch a procédé à un correctif dans son boîtier Drivelog Connector. Le processus d'authentification depuis le mobile était mis en cause.
Bosch : Le Drivelog Connector victime d'une faille de sécurité

En matière de connectivité des véhicules, nul n'est à l'abri d'une faille de sécurité. Bosch en est la preuve. Argus Cyber Security, qui compte parmi les références de la cyber sécurité automobile, a annoncé, il y a quelques jours, avoir alerté et aidé l'équipementier à corriger une situation critique concernant Drivelog Connector, le boîtier OBD proposé par l'Allemand, depuis le mois de septembre dernier. En cause, le processus d'authentification entre le dongle et l'application de smartphone Drivelog Connect, ont pointé les chercheurs d'Argus Cyber Security.

Le cas était assez grave pour être signalé. En effet, la faille dans le processus d'authentification utilisant l'application de smartphone Drivelog Connect a permis aux chercheurs de prendre le contrôle d'une voiture via Bluetooth, notamment les systèmes de véhicule essentiels à la sécurité, selon le rapport. Après avoir accédé au canal de communications, les chercheurs d'Argus ont pu reproduire la structure de commande de sorte à injecter des messages malicieux dans le réseau embarqué du véhicule.

Cela a pu se produire en contournant le filtre de messages sécurisé qui était conçu par Bosch pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis au groupe de recherche d'Argus de prendre le contrôle d'une voiture en marche. Pour l'exemple, les chercheurs en cyber sécurité ont commandé l'arrêt du moteur, à distance. "La découverte de Bosch démontre que les solutions basées sur la cryptographie ne sont pas infaillibles, même quand elles sont conçues par des leaders de l'industrie, et que des défenses sont requises à de multiples niveaux pour protéger efficacement les véhicules des cyber menaces", a déclaré Yaron Galula, directeur de la technologie et co-fondateur d'Argus.

Dans les rangs de l'Allemand, la menace a été prise au sérieux, tout en rappelant que des conditions préalables doivent être réunies pour mener de telles attaques. Il fait une proximité physique au boîtier. Le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Aussi, une attaque initiale requiert le forçage brut du code PIN pour un équipement donné, et l'envoi d'un message CAN malicieux adapté aux contraintes du dongle et du véhicule. "Afin d'améliorer encore plus la sécurité, un correctif qui répare les faiblesses sous-jacentes du protocole de cryptage sera bientôt disponible. Ce correctif évitera le type d'attaque décrite par Argus", a néanmoins assuré Thorsten Kuhles, directeur de la Bosch Product Security Incident Response Team (PSIRT).

Ajouter un commentaire
 
Pour laisser un commentaire,  
inscrivez vous
A la une de l'actualité
Le SNSA se voit confier la gestion du système eCall

Le SNSA se voit confier la gestion du système eCall Opérationnel dès avril 2018, le dispositif d'appels d'urgence embarqué eCall sera finalement déployé par le syndicat national des sociétés d'assistance (SNSA), qui a su faire entendre ses arguments

lire la suite [...]
Les recycleurs du CNPA confirment Patrick Poincelet à leur tête

Les recycleurs du CNPA confirment Patrick Poincelet à leur tête Le fondateur du réseau Caréco a été réélu au poste de président de la branche des recycleurs de VHU pour les quatre prochaines années.

lire la suite [...]
Le groupe Bodemer renouvelle son Rendez-Vous de l’après-vente

Le groupe Bodemer renouvelle son Rendez-Vous de l’après-vente C’est à Pontivy, entre Saint-Brieuc et Lorient, que le groupe Bodemer tiendra la 7ème édition de son Rendez-Vous de l’après-vente. L’événement devrait réunir près de 450 personnes.

lire la suite [...]
Martine Houlière quitte Sécuritest

Martine Houlière quitte Sécuritest En poste depuis neuf ans, la présidente du réseau de contrôle technique quittera ses fonctions à l'automne prochain remplacée par Laurent Palmier.

lire la suite [...]
Haut de page
 
Accès direct au menu Accès direct au contenu de la page