Il y a quelques jours, la société Computest a révélé l'existence de vulnérabilités touchant des véhicules Volkswagen et Audi. Aujourd'hui, c'est la société Tencent Keen Security Lab qui révèle de graves vulnérabilités dans certains véhicules BMW.

Ces vulnérabilités sont annoncées dans un billet de blog et décrites en détails dans un document technique.

Des vulnérabilités, il y a en tous azimuts, ou plus exactement toutes connectivités : USB, Bluetooth et GSM. Certaines de ces vulnérabilités sont exploitables à distance. Les chercheurs de Tencent Keen Security Lab ont montré qu'il était possible de réaliser une attaque de type 'homme du milieu' (man in the middle) en brouillant le signal GSM légitime et en forçant le système à se connecter à un réseau GSM malveillant.

Lorsqu'il s'agit d'attaques visant à provoquer un crash du système multimédia du véhicule, par exemple, on peut encore penser que tout cela n'est pas bien grave. Cependant, il semble que de telles attaques puissent provoquer le crash du véhicule tout court, et là c'est une autre affaire.

Selon les chercheurs, des messages de diagnostics peuvent ainsi être envoyés à divers composants électroniques du véhicule, et forcer leur redémarrage. Normalement, ce type de message est envoyé uniquement lorsque le véhicule est à l'arrêt, en  maintenance au garage.

Il n'existe toutefois pas de protection pour que tels messages soient ignorés lorsque le véhicule roule. Sur ces voitures modernes, le bon fonctionnement des composants mécaniques dépend du bon fonctionnement des composants électroniques qui les pilotent. Ce qui laisse envisager des attaques mettant en danger physique les passagers de ces voitures.

BWM a reconnu l'existence de ces vulnérabilités et a commencé à écrire et à déployer des correctifs. Correctifs qui ne peuvent à priori pas être appliqués par les propriétaires des véhicules, mais seulement lors d'opération de maintenance au garage.

Le tableau ci-dessous récapitule les véhicules vulnérables selon Tencent Keen Security Lab qui n'a bien sûr pas testé tous les véhicules de la marque. Il est donc possible que d'autres modèles soient impactés.