Une faille permet de voler sans clé presque toutes les Volkswagen

[Mise à jour] Une grosse faille de sécurité permet de déverrouiller et donc de voler sans la clé presque tous les véhicules Volkswagen construits après 1995. L’équipement nécessaire, une carte Arduino et un émetteur-récepteur radio, coûte moins de 40 dollars. Plus inquiétant encore, l’exploit du chercheur en sécurité commence à être reproduit.

La découverte de Flavio Garcia, chercheur à l’université de Birmingham, risque de vous donner envie de planquer votre voiture jusqu’à ce que la faille soit réglée. En fait, tous les véhicules Volkswagen construits après 1995 utilisent un même système de verrouillage centralisé dont la sécurité n’a pas changé depuis 18 ans. Bref, de quoi les exposer, avec un chouilla de matière grise au vol, avec une étonnante facilité.

Dans le détail, le chercheur, qui a obtenu les clés de cryptage Volkswagen, a réussi à intercepter le signal de verrouillage d’une clé et à le reproduite à volonté. Le tout avec un équipement sommaire (une carte Arduino, une batterie, et transceiver radio) très facile à acquérir pour qui dispose d’une connexion internet et d’un budget de 40 euros.

Le coût du matériel est très bas, et son design est trivial. Et pourtant vous pouvez construire quelque chose qui fonctionne exactement comme la clé d’origine

Concrètement, Flavio Garcia est parvenu non seulement à ouvrir les portes du véhicule mais également à démarrer le moteur. Et selon lui, l’attaque peut être reproduite sur pratiquement tous les véhicules du groupe Volkswagen fabriqués depuis 1995. Ce qui inclut d’autres marques du groupe comme Audi et Skoda. Plusieurs millions de véhicules d’autres marques dont Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel et Peugeot seraient également affectés par la faille.

Voici à quoi ressemble un (vrai) vol de voitures avec cette technique :

La sécurité des clés produites par Volkswagen en question

Ce qui trouble particulièrement dans l’étude, c’est d’abord que le chercheur ait réussi à extraire les 4 clés cryptographiques utilisées par le constructeur automobile à partir de l’analyse de clés de véhicules du constructeur. Cela ne devrait normalement pas être possible. Il y a également le fait que seules 4 clés différentes suffisent à crypter les communications de 100 millions de véhicules.

Ou encore qu’il suffise d’intercepter une pression sur le bouton de la clé pour en reproduire une simulation fidèle. Là où chez d’autres constructeurs, le signal de verrouillage diffère a minima de celui du déverrouillage. Seules informations rassurantes (?) : pour réussir son attaque, le hacker doit se trouver dans un rayon de trente mètres.

• À lire également : Denuvo, le système antipiratage « inviolable » de Steam, a été cracké

La Golf 7, ainsi que les voitures de la même génération sont les seules à partager un nouveau système de verrouillage plus sécurisé et sont donc immunisés contre l’attaque. Mais selon le blog américain Jalopnik, certains voleurs de voiture auraient déjà recours à ce stratagème. Et de citer deux faits divers : 30 Jeep volées au Texas avec un ordinateur portable, ou encore des vidéos de la police qui montrent des vols de voiture sans effraction (cf la vidéo plus haut).

[Mise à jour]

Le journal Le Monde rapporte les propos de responsables de l’entreprise (interrogés par des journalistes allemands) qui ont « reconnu le problème » tout en insistant sur le fait que les véhicules plus récents « n’ont pas le même niveau de sécurité ». Dans leur étude, les chercheurs n’auraient entre autre « pas divulgué certains détails » afin de ne pas « donner de mode d’emploi » aux potentiels voleurs.