Avec un simple logiciel permet à des pirates de se transformer en voleurs de voitures. Des dizaines de millions de véhicules vendus par Volkswagen AG au cours des 20 dernières années seraient vulnérables au piratage informatique.

La semaine dernière, je vous révélais l’affaire qui visait deux voleurs de voitures de marque Jeep et Chrysler. Des voleurs pas comme les autres car ils utilisaient un ordinateur, une faille et une mystérieuse base de données. Un « matos » qui leur permettait de cloner les clés de contact. Ils réussiront avec leur ordinateur portable à subtiliser une centaine de voitures.

Attaque informatique de masse contre des voitures en Angleterre et en France. http://t.co/RP7Ow6Esfi #voiture @Damien_Bancal @DataSecuB

— ZATAZ (@zataz) May 20, 2015

En Europe, comme j’ai pu vous le démontrer en 2014 et 2015, les vols de voitures secondés par l’informatique explosent littéralement. Les autorités, comme le FBI, ont même tiré la sonnette d’alerte à ce sujet. A cela, depuis quelques jours, se rajoute une nouvelle alerte concernant, cette fois, les propriétaires de voitures de la marque Volkswagen.

#geneve – démarrer sa voiture avec son smartphone et pouvoir envoyer la clé d'appareil à appareil ! #faudrapasvousplaindre

— Damien Bancal (@Damien_Bancal) March 3, 2016

Des experts en sécurité informatique de l’Université de Birmingham (Royaume-Unis) ont publié un document baptisé « Lock It and Still Lose It: On the (In)Security of Automotive Remote Keyless Entry Systems » décrivant la façon dont ils ont réussi à cloner des clés sans contact de VW. Il leur suffit « d’écouter » la clé en action, quand le conducteur s’approche ou s’éloigne de sa voiture, pour reproduire le précieux sésame. Flavio D. Garcia, David Oswald, Timo Kasper et Pierre Pavlidès en ont fait une démonstration lors de l’USENIX, conférence sécurité qui s’est tenue à Austin (Texas), du 10 au 12 août.

Voleur de voiture 2.0 face à Audi, VW, Seat et Skoda

Les Véhicules vulnérables à cette « attaque » sont les Audi, VW, Seat et Skoda. Des voitures vendues depuis 1995. D’après les chiffres, il s’agir de quelque 100 millions de véhicules commercialisés par le groupe VW. La faille a été trouvée dans des modèles de voiture récents comme l’Audi Q3 modèle 2016. La seule exception concerne des voitures construites sur la dernière plate-forme de production de MQB de Volkswagen. Une plateforme qui fabrique la Golf VII (la plus vendue de la marque). Les modèles actuels de Golf, Tiguan, Touran et Passat ne sont pas vulnérables.

En 2013, VW avait obtenu une ordonnance restrictive de la justice contre des chercheurs, dont l’un des britannique, afin d’empêcher la publication d’un document détaillant 20 attaques possibles à l’encontre de ses voitures. Une recherche publiée en 2015. En 2013 aussi, L’algorithme de sécurité qui protègeait les Porsche, Audi, Bentley et Lamborghini avait été « cracké ».

L'algorithme de sécurité qui protège les Porsche, Audi, Bentley et Lamborghini cracké. http://t.co/8rOBBF3LHC #voiture #infosec #france

— ZATAZ.COM Officiel (@zataz) August 18, 2013

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

One Comment

Charles 13/08/2016 at 09:25 Reply

Bonjour Damien,

Pour avoir traîné dans le milieu VW, il existe plusieurs solutions permettant de démarrer un véhicule du groupe VAG en passant outre l’antidémarrage.
Il existe de nombreux outils se connectant à la prise OBD2 qui permettent de désactiver l’antidémarrage sur le calculateur moteur, ou pire encore, enregistrer de nouvelles clés (transpondeurs) et supprimer les anciennes dans le système d’antidémarrage, ce qui fait que seul le voleur peut démarrer la voiture, les clés originales sont désactivés.
Ces outils disponibles sur Internet à petit prix se trouvent assez facilement, pas besoin d’aller sur le blackmarket. Ils ont pour vocation première d’effectuer des tâches de dépannage, mais entre de mauvaises mains, ils peuvent faire pas mal de dégâts.
On ne va pas jeter la pierre à VW, il en existe pour de nombreuses marques… La plupart des boitiers ECU équipant nos autos sont fabriqués par le même constructeur.