Crack and Furious : le matériel de piratage de voitures se démocratise

Posted On 24 Oct 2022

Tag: Fast start unlock, hack à l'enceinte, Keyless-Go-System, piratage, start key programmer, uwb, voiture

88% des vols de véhicules en 2021 ont été orchestrés à partir d’un piratage informatique. De quoi s’inquiéter de la démocratisation des outils pour hacker nos véhicules.

Beau et gros coups de filets pour la Gendarmerie Nationale en ce mois d’octobre. 200 militaires de Lille, Paris, Marseille et Lyon ont arrêté 31 pirates de voitures du côté de Lyon, Montpellier, Lille, Douai, Boulogne-sur-Mer, Marseille, Bobigny ou encore Grenoble. Ils commercialisaient du matériel permettant de hacker des véhicules. Selon l’AFP, plus de 200 acheteurs ont acquis des boitiers passant outre la sécurité de certaines marques (Peugeot, Jeep, Nissan, etc.). ZATAZ vous en parlait déjà en 2016 avec l’arrestation de deux hommes et 100 voitures piratées.

Un vaste coup de filet qui fait suite à une enquête ouverte en mars 2020. Des dizaines de plaintes, dès janvier 2019, faisaient apparaitre des vols de voitures sans aucune effraction. Les autorités parlent d’un préjudice de 2,7 millions d’euros sur une période de 10 mois. Je vous montre, dans l’espace Youtube vidéo ZATAZ, 4 cas de clonage/piratage (3 dans la voiture, 1 extérieure à la voiture).

Piratage des clés !

Les chefs de la bande, un Espagnol et un Lituanien, permettaient aux voleurs pirates de revendre leurs larcins à l’étranger. Les pirates commercialisaient tablettes, logiciels et les connectiques offrant la possibilité d’allumer les voitures et de dupliquer et programmer des clés vierges sans avoir besoin de récupérer l’original. Certains des dispositifs étaient cachés dans des coques d’enceinte sonore afin de ne pas éveiller les soupçons ! Vendu 5 000€, ce dispositif « permet la programmation de clef keyless go en moins de 40 secondes » soulignaient les pirates. Les marques Toyota et Lexus étaient visées par ce « hack à l’enceinte« .

Du matériel varié allant de l’interception des informations de la clé, au sein de la maison (beaucoup de personnes laissent leurs clés de voiture à l’entrée, dans le « vide poche » ou en accédant à des prises dans la voiture (OBD) ou directement sous le pare-chocs de certaines marques.

Keyless-Go-System

Une clé sans contact, baptisée aussi « Keyless-Go-System« , se hack facile ? Le club automobile allemand ADAC avait révélé dans son étude de février 2022 comment 21 voitures sur 500 avaient réussi à contrer des pirates. 500 modèles de voiture passés au crible et un résultat inquiétant : le matériel informatique à disposition des pirates est radical ! Le premier constructeur à équiper ses voitures d’un système antivol, Land Rover (2018). Certains modèles du groupe Volkswagen – comme les Audi A3 et A5 G-Tron, Cupra Formentor, Seat Leon, Skoda Octavia et certains modèles VW – sont également équipés de la technologie UWB dés 2020.

En mars 2022, les chercheurs Blake Berry et Ayyappan Rajesh révélaient une vulnérabilité d’« attaque par relecture » affectant certains modèles de voitures des marques Honda et Acura. La cyberattaque permettait à un pirate à proximité de déverrouiller et démarrer une voiture, à distance. L’attaque (une attaque de l’homme du milieu) consistait à intercepter les signaux RF envoyés du porte-clés de la voiture et de renvoyer ces signaux pour prendre le contrôle du système « Keyless-Go-System ».

Se protéger !

Pour palier ces piratages, et en attendant que les constructeurs trouvent une parade, il est conseillé par la Gendarmerie Nationale d’utiliser une canne antivol ; enfermer vos clés dans une boite « cage de faraday » dans le même principe que votre carte bancaire ; de ne pas ignorer l’installation d’une alarme ou encore d’une prise de protection OBD. Je vous en parlais dans les colonnes de Data Security Breach, en 2018, avec l’invention d’un garagiste du Maine-et-Loire.

Une voiture équipée de l’UWB est aussi un moyen rassurant de se protéger des pirates. La technologie ultra large bande (UWB) mesure la distance entre la clé et la voiture. Si un voleur de voiture utilise un prolongateur d’autonomie, le système remarque que la distance n’est plus correcte et maintient la voiture verrouillée. En 2020, 24 modèles de véhicules étaient dotés de la technologie sans clé UWB !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.