Les vulnérabilités de sécurité logicielles sont signalées tout le temps. Généralement, la réponse lorsqu'une vulnérabilité est découverte consiste à remercier (ou, dans de nombreux cas, à payer) le chercheur qui l'a trouvé, puis à résoudre le problème. C'est la réponse standard dans l'industrie.
Une réponse résolument non-standard serait de poursuivre les personnes qui ont signalé la vulnérabilité pour les empêcher d'en parler, puis de passer deux ans à essayer de cacher le problème. Malheureusement, c'est exactement ce qu'a fait le constructeur automobile allemand Volkswagen.
Carjacking cryptographique
La vulnérabilité en question était un défaut du système d'allumage sans clé de certaines voitures. Ces systèmes, une alternative haut de gamme aux clés conventionnelles, sont supposés empêcher la voiture de se déverrouiller ou de démarrer à moins que la télécommande ne se trouve à proximité. La puce est appelée "Megamos Crypto" et est achetée auprès d'un fabricant tiers en Suisse. La puce est censée détecter un signal provenant de la voiture, et répondre avec un message cryptographiquement signé. Pouvez-vous signer électroniquement des documents et devriez-vous? Pouvez-vous signer électroniquement des documents et devriez-vous? Peut-être avez-vous entendu vos amis technophiles parler à la fois des termes signature électronique et signature numérique. Peut-être que vous avez même entendu les utiliser de façon interchangeable. Cependant, vous devriez savoir qu'ils ne sont pas les mêmes. En fait, ... Lire la suite assurant la voiture que c'est bon de débloquer et de démarrer.
Malheureusement, la puce utilise un schéma cryptographique périmé. Lorsque les chercheurs Roel Verdult et Baris Ege ont remarqué ce fait, ils ont pu créer un programme qui brise le cryptage en écoutant les messages entre la voiture et le porte-clés. Après avoir entendu deux tels échanges, le programme est capable de réduire la gamme des clés possibles à environ 200 000 possibilités - un nombre qui peut être facilement forcé par un ordinateur.
Ce processus permet au programme de créer une «copie numérique» du porte-clés, et de déverrouiller ou démarrer la voiture à volonté. Tout cela peut être fait par un appareil (comme un ordinateur portable ou un téléphone) qui se trouve à proximité de la voiture en question. Il ne nécessite pas d'accès physique au véhicule. Au total, l'attaque prend environ trente minutes.
Si cette attaque semble théorique, ce n'est pas le cas. Selon la police métropolitaine de Londres, 42% des vols de voitures à Londres l'année dernière ont été effectués en utilisant des attaques contre des systèmes déverrouillés sans clé. C'est une vulnérabilité pratique qui met des millions de voitures en danger.
Tout cela est plus tragique, car les systèmes de déverrouillage sans clé peuvent être beaucoup plus sûrs que les clés conventionnelles. La seule raison pour laquelle ces systèmes sont vulnérables est due à l'incompétence. Les outils sous-jacents sont beaucoup plus puissants que n'importe quel verrou physique pourrait être.
Divulgation responsable
Les chercheurs ont d'abord divulgué la vulnérabilité au créateur de la puce, en leur donnant neuf mois pour corriger la vulnérabilité. Lorsque le créateur a refusé d'émettre un rappel, les chercheurs se sont rendus chez Volkswagen en mai 2013. Ils prévoyaient initialement publier l'attaque lors de la conférence USENIX en août 2013, donnant à Volkswagen environ trois mois pour commencer un rappel / retrofit, avant que l'attaque ne devenir public.
Au lieu de cela, Volkswagen a intenté un procès pour empêcher les chercheurs de publier le document. Une grande cour britannique s'est rangée du côté de Volkswagen, en disant: "Je reconnais la grande valeur de la liberté d'expression académique, mais il y a une autre valeur élevée, la sécurité de millions de voitures Volkswagen."
Il a fallu deux ans de négociations, mais les chercheurs sont finalement autorisés à publier leur article, moins une phrase qui contient quelques détails clés sur la réplication de l'attaque. Volkswagen n'a toujours pas réparé les porte-clés, ni les autres fabricants qui utilisent la même puce.
Sécurité par Litigiousness
De toute évidence, le comportement de Volkswagen ici est grossièrement irresponsable. Plutôt que d'essayer de résoudre le problème avec leurs voitures, ils ont plutôt versé Dieu-sait combien de temps et d'argent pour essayer d'empêcher les gens d'en savoir plus. C'est une trahison des principes les plus fondamentaux d'une bonne sécurité. Leur comportement ici est inexcusable, honteux, et d'autres invectives (plus colorées) que je vais vous épargner. Il suffit de dire que ce n'est pas ainsi que les entreprises responsables devraient se comporter.
Malheureusement, ce n'est pas non plus unique. Les constructeurs automobiles ont laissé tomber la balle de sécurité. Les Hackers peuvent-ils vraiment prendre le contrôle de votre voiture? Les hackers peuvent-ils vraiment prendre le contrôle de votre voiture? Lire la suite un beaucoup affreux ces derniers temps. Le mois dernier, il a été révélé qu'un modèle particulier de Jeep pouvait être piraté sans fil grâce à son système de divertissement. Comment sont sécurisées les voitures connectées à Internet? Quelle est la sécurité des voitures connectées à Internet? Les voitures autonomes sont-elles sûres? Les voitures connectées à Internet pourraient-elles être utilisées pour provoquer des accidents, voire assassiner des dissidents? Google ne l'espère pas, mais une expérience récente montre qu'il reste encore beaucoup à faire. Lire la suite, quelque chose qui serait impossible dans toute conception de voiture soucieux de la sécurité. Au crédit de Fiat Chrysler, ils ont rappelé plus d'un million de véhicules dans le sillage de cette révélation, mais seulement après que les chercheurs en question eurent démoli le piratage d'une manière irresponsable dangereuse et vivante.
Des millions d'autres véhicules connectés à Internet sont probablement vulnérables à des attaques similaires - mais personne n'a mis en danger de manière imprudente un journaliste avec eux, donc il n'y a eu aucun rappel. Il est tout à fait possible que nous ne voyions aucun changement avant que quelqu'un ne meure.
Le problème ici est que les constructeurs automobiles n'ont jamais été des fabricants de logiciels avant - mais maintenant ils le sont tout à coup. Ils n'ont pas de culture d'entreprise soucieuse de la sécurité. Ils n'ont pas l'expertise institutionnelle pour traiter ces problèmes de la bonne façon, ou construire des produits sécurisés. Quand ils sont confrontés à eux, leur première réponse est la panique et la censure, pas de corrections.
Il a fallu des décennies aux sociétés de logiciels modernes pour développer de bonnes pratiques de sécurité. Certains, comme Oracle, sont toujours coincés avec des cultures de sécurité périmées Oracle veut que vous arrêtiez de les envoyer - Voici pourquoi c'est fou Oracle veut que vous arrêtiez de les envoyer - Voici pourquoi c'est fou Oracle est dans l'eau chaude sur un blog mal orienté chef, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d'Oracle s'écarte du courant dominant n'a pas été bien reçue dans la communauté de la sécurité ... Pour en savoir plus. Malheureusement, nous n'avons pas le luxe d'attendre simplement que les entreprises développent ces pratiques. Les voitures sont des machines coûteuses (et extrêmement dangereuses). Ils sont l'un des domaines les plus critiques de la sécurité informatique, après les infrastructures de base comme le réseau électrique. Avec l'avènement des voitures autonomes L'histoire est superposée: l'avenir du transport ne ressemblera à rien de ce que vous avez vu avant que l'histoire ne soit superposée: l'avenir du transport sera comme rien de ce que vous avez vu en quelques décennies La voiture sans conducteur va sonner comme une «voiture sans chevaux», et l'idée de posséder sa propre voiture vous semblera aussi pittoresque que de creuser votre propre puits. En savoir plus en particulier, ces entreprises doivent faire mieux, et il est de notre responsabilité de les maintenir à un niveau plus élevé.
Pendant que nous y travaillons, le moins que nous puissions faire, c'est que le gouvernement cesse d'autoriser ce mauvais comportement. Les entreprises ne devraient même pas essayer d'utiliser les tribunaux pour dissimuler des problèmes avec leurs produits. Mais, tant que certains d'entre eux sont prêts à essayer, nous ne devrions certainement pas les laisser faire. Il est essentiel que nous ayons des juges qui connaissent suffisamment la technologie et les pratiques de l'industrie du logiciel soucieuse de la sécurité pour savoir que ce genre de commande de bâillon n'est jamais la bonne réponse.
Qu'est-ce que tu penses? Êtes-vous préoccupé par la sécurité de votre véhicule? Quel constructeur automobile est le meilleur (ou le pire) en matière de sécurité?
Crédits image: l'ouverture de sa voiture par nito via Shutterstock