Avec «rappel», Fiat Chrysler aggrave sa voiture

Après que Wired ait montré à deux pirates à distance l'accès et l'immobilisation d'une Jeep en mouvement en exploitant des vulnérabilités logicielles la semaine dernière, Fiat Chrysler a répondu en corrigeant la vulnérabilité de plusieurs modèles de Jeep, Dodge et Chrysler qui étaient équipés du logiciel Uconnect qui a été piraté. Cependant, la façon dont ils ont procédé à la délivrance du correctif risque de mettre davantage les clients de l'entreprise en danger.

Plutôt que de simplement traiter le correctif logiciel comme un rappel traditionnel (c'est-à-dire les obliger à visiter un centre de service et à faire réparer le problème par un expert), Fiat Chrysler envoie une clé USB aux propriétaires des voitures concernées. De là, les propriétaires des voitures peuvent brancher la clé USB sur le port USB des voitures pour corriger la vulnérabilité du logiciel. Cela semble être un moyen pratique d'émettre un rappel pour quelque chose que les propriétaires de voitures peuvent réparer eux-mêmes. 

Cependant, comme toute personne ayant une expérience de la cybersécurité le sait bien, cela ouvre une énorme fenêtre de procédure pour les pirates qui pourraient être enclins à exploiter la vulnérabilité pour prendre le contrôle de la voiture. Carl Leonard, analyste principal de la sécurité chez Raytheon Websense, dit que cela crée une opportunité d'ingénierie sociale facile et utilise une méthode de distribution notoirement vulnérable dans la clé USB.

«La décision de Fiat Chrysler d'envoyer directement des clés USB aux clients pour corriger la récente vulnérabilité équivaut à sécuriser un chiffon rouge à un taureau», explique Leonard. "Les pirates, très aptes à tirer parti de l'indécision et des tactiques d'ingénierie sociale en temps de crise, pourraient potentiellement utiliser cette opportunité de correction USB pour un gain néfaste."

Pour ceux qui possèdent ces voitures, tenter de corriger la vulnérabilité de sécurité pourrait se retourner contre eux s'ils sont ciblés par des pirates.

"[Les pirates] pourraient, par exemple, parodier la mise à jour avec une lettre bidon et une clé USB qui leur sont propres, leur permettant de lancer une multitude de scénarios de menaces réelles, y compris l'écrasement ou le vol de la voiture", a ajouté Leonard. "Cela ne prend même pas en compte l'incertitude que le patch USB a été appliqué correctement sans aucune conséquence négative pour le fonctionnement sûr du véhicule."

Tout cela semble particulièrement stupide si l'on considère que Fiat Chrysler a également mis à jour la mise à jour en téléchargement sur son site Web, ainsi qu'en offrant des services à ses concessionnaires. Donc, l'offre d'envoyer un périphérique USB préchargé n'a jamais été vraiment nécessaire en premier lieu.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.