Le système de plaque d’immatriculation électronique de la Californie vient d’être piraté

L' »Internet des objets » (IoT) est un terme de l’industrie technologique qui semble anodin, mais son existence a de sérieuses implications pour notre sécurité et notre vie privée. Les appareils IoT sont des objets ou des appareils ordinaires avec des capteurs intégrés, des processeurs informatiques et des modules de communication – voitures connectées au WiFi, cadres photo intelligents, thermostats connectés à Internet, etc. Ces appareils offrent certaines commodités, mais ils sont également devenus plus invasifs et sujets à des failles de sécurité. Vous craignez peut-être que quelqu’un pirate votre ordinateur ou votre téléphone, mais vous n’aviez probablement pas pensé à quelqu’un qui piraterait votre réfrigérateur intelligent. Un exemple frappant de cela vient de la Californie, où de nouvelles plaques d’immatriculation numériques – promues comme une mise à niveau facultative – ont été légalisées par le gouverneur Gavin Newsom en octobre 2022. Quelques mois après sa sortie, le système de plaque d’immatriculation électronique de la Californie a déjà été piraté, permettant aux pirates de suivez la position GPS, accédez aux informations personnelles du propriétaire, modifiez le texte sur la plaque, etc. Ils pourraient même signaler le véhicule comme voléce qui pourrait inciter la police à procéder à un arrêt criminel de haute intensité.

Capture d’écran via Reviver.com

Le piratage de la plaque d’immatriculation électronique

Ci-dessus : la page produit de Reviver vante les mérites du « contrôle dans la paume de votre main » en utilisant l’application mobile pour personnaliser votre RPlate.

Heureusement, les pirates informatiques dans cette affaire étaient des « chapeaux blancs » bienveillants qui n’avaient aucune intention d’utiliser cette vulnérabilité pour semer le chaos. Au lieu de cela, ils ont immédiatement signalé la vulnérabilité (probablement pour une grosse prime en espèces) à Reviver, la société qui vend et gère les nouvelles plaques d’immatriculation électroniques RPlate. Reviver aurait corrigé la faille dans les 24 heures. Après une enquête interne, la société a affirmé qu’elle n’avait jamais été utilisée à des fins malveillantes et qu’aucune donnée d’utilisateur n’avait été divulguée au public.

Abonnez-vous aujourd’hui et économisez !

Ci-dessus : Cette promesse de confidentialité de Reviver semble plutôt ironique compte tenu des récentes révélations sur la cybersécurité.

Même si une catastrophe de cybersécurité a été évitée de justesse dans ce cas, il est certainement préoccupant de savoir à quel point la vulnérabilité était grave. Le chercheur en sécurité Sam Curry a expliqué qu’une faille Javascript dans le site Web de Reviver a permis à son équipe de faire passer son niveau d’accès au compte de celui d’un utilisateur standard à un « super administrateur ». Une fois qu’ils avaient un accès administrateur, ils pouvaient…

• Accéder aux informations personnelles de tout propriétaire de plaque électronique, y compris les véhicules possédés, l’adresse physique, le numéro de téléphone et l’adresse e-mail
• Suivre à distance la position GPS de toute plaque d’immatriculation électronique
• Supprimer les plaques d’immatriculation du système
• Ajouter de nouvelles plaques d’immatriculation au système
• Remplacer le logo du concessionnaire sur les étiquettes temporaires des voitures neuves
• Modifier la ligne de texte personnalisée au bas de la plaque
• Mettez à jour le statut de toute plaque électronique sur « VOLÉ », ce qui pourrait potentiellement conduire la police à arrêter le conducteur sous la menace d’une arme

Ci-dessus : dans des circonstances normales, la possibilité de marquer instantanément une plaque comme « VOLÉE » peut sembler bénéfique. Dans ce cas, c’est presque devenu un énorme problème de sécurité.

Un problème croissant de cybersécurité

Ce n’est même pas Fermer à la seule vulnérabilité sérieuse documentée par Sam Curry dans son article de blog, Web Hackers vs. The Auto Industry. Il a également montré des portes dérobées Web qui affectaient une liste stupéfiante de constructeurs automobiles, notamment Kia, Hyundai, Honda, Toyota, Infiniti, Nissan, Acura, Ford, Mercedes-Benz, BMW, Porsche et même Ferrari. Beaucoup d’entre eux comprenaient la possibilité de «verrouiller, déverrouiller, démarrer le moteur, arrêter le moteur, localiser avec précision, faire clignoter les phares et klaxonner» à distance en utilisant uniquement le numéro VIN du véhicule visible publiquement.

Photo via Reviver

Dans le passé, les pirates ont également démontré leur capacité à éteindre à distance des véhicules déjà en mouvement, ce qui pourrait entraîner un grave accident.

L’industrie automobile mise à part, l’État de Californie n’est pas étranger aux vulnérabilités flagrantes en matière de cybersécurité. L’été dernier, le ministère de la Justice de Californie a confirmé que les données personnelles de toutes les personnes à qui un permis de port d’arme dissimulé avait été accordé ou refusé entre 2011 et 2021 avaient été divulguées. Ces informations comprenaient « les noms, la date de naissance, le sexe, la race, le numéro de permis de conduire, les adresses et les antécédents criminels ». Cette fuite a affecté près d’un quart de million de Californiensy compris des juges et des policiers, faisant peut-être de ces personnes la cible de vols avec invasion de domicile et d’autres crimes.

Parler n’est pas cher

Dans presque tous les cas, les entreprises ou les organes directeurs concernés ont rapidement présenté des excuses et assuré à tout le monde qu’il s’agissait d’un incident isolé. Mais il est clair que ces piratages continueront à se produire à moins que les responsables de nos données ne consacrent du temps et de l’argent à faire de la cybersécurité une priorité beaucoup plus élevée.

En attendant, nous vous encourageons à peser soigneusement le pour et le contre avant d’ajouter plus d’appareils intelligents IoT à votre maison (ou garage).

Écrit par Patrick McCarthy