Une vulnérabilité zero-day découverte menace la sécurité des systèmes mondiaux de véhicules connectés.

Cette annonce a été faite lors de la conférence Security Analyst Summit 2025. Il s'agit d'une vulnérabilité zero-day dans l'application publique du prestataire partenaire, permettant un accès non autorisé au système télématique – véritable cerveau du véhicule qui contrôle et collecte ses données. En cas d'attaque réelle, des personnes mal intentionnées pourraient forcer le véhicule à changer de vitesse, voire couper le moteur en roulant, mettant ainsi directement en danger la sécurité du conducteur et des passagers.

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — Kaspersky découvre une grave faille de sécurité qui menace la sécurité des véhicules.

Selon Kaspersky, l'évaluation de sécurité a été menée à distance et s'est concentrée sur les services publics du fabricant et du sous-traitant. Les experts ont découvert plusieurs ports d'accès exposés sur Internet et une vulnérabilité d'injection SQL dans l'application wiki, ce qui leur a permis d'extraire des données utilisateur et des mots de passe chiffrés. Une partie de ces mots de passe a été déchiffrée, donnant ainsi accès au système de suivi des incidents contenant des informations de configuration sensibles de l'infrastructure télématique, notamment un fichier contenant les mots de passe hachés des utilisateurs du serveur.

Du côté du système de voiture connectée, l'équipe a découvert un pare-feu mal configuré, exposant des serveurs internes.

En utilisant les identifiants obtenus, ils ont accédé au système de fichiers et ont même pu envoyer des commandes de mise à jour de firmware modifiées au contrôleur télématique (TCU).

Cette action permet d'accéder au réseau local (CAN) – qui coordonne le moteur, la transmission et les capteurs, ce qui signifie que de nombreuses fonctions importantes du véhicule peuvent être contrôlées.

« Ces vulnérabilités proviennent d'erreurs courantes telles que l'utilisation de mots de passe faibles, l'absence d'authentification à deux facteurs et le défaut de chiffrement des données sensibles. Un seul maillon faible de la chaîne d'approvisionnement peut compromettre l'ensemble du système de la voiture connectée », a déclaré Artem Zinenko, responsable de la recherche et de l'évaluation de la sécurité ICS CERT chez Kaspersky.

Kaspersky appelle les constructeurs automobiles à renforcer leurs contrôles de cybersécurité, notamment au niveau des infrastructures de leurs partenaires tiers, afin de garantir la sécurité des utilisateurs et de maintenir la confiance dans la technologie des véhicules connectés.

Recommandations de Kaspersky aux sous-traitants et partenaires technologiques du secteur automobile :

Limiter l'accès Internet aux services Web via un VPN, en isolant ces services de l'intranet de l'entreprise.
Services web distincts, donc non liés à l'intranet de l'entreprise
Appliquer une politique de mots de passe stricte
Activer l'authentification à deux facteurs (2FA)
Chiffrer les données sensibles
Intégrez le système de journalisation à la plateforme SIEM pour surveiller et détecter les incidents en temps réel. (SIEM – Système de gestion des informations et des événements de sécurité – permet de détecter rapidement les comportements anormaux et les cyberattaques.)

Pour les constructeurs automobiles, Kaspersky recommande de restreindre l'accès à la plateforme télématique (système qui collecte et traite les données du véhicule) depuis le réseau du véhicule, d'autoriser uniquement les connexions réseau figurant sur une liste blanche, de désactiver la connexion par mot de passe SSH, d'exploiter les services avec les autorisations minimales nécessaires, de garantir l'authenticité des commandes de contrôle envoyées à l'unité de contrôle télématique (TCU) du véhicule et d'intégrer une plateforme SIEM.

Source : https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm