Le désastre Nissan ou les affres du tout connecté

Quand il suffit de quinze minutes pour trouver comment pirater 200 000 véhicules à travers le monde, l'on comprend mieux pourquoi n'importe qui ne devrait pas connecter n'importe quoi...

Tout dans cette affaire du piratage de véhicules Nissan est un fiasco : depuis l’ignorance totale des notions élémentaires de design sécurisé jusqu’à la première réaction hallucinante du fabricant, pour qui avoir 200 000 véhicules piratables à distance n’est pas un problème.

L’histoire commence, comme souvent, par hasard : de retour à son hôtel après un atelier consacré à la sécurité des API, un développeur décide de jeter un oeil à d’éventuels services API afin d’illustrer les techniques qu’il vient d’apprendre. Probablement possédait-il un véhicule Nissan, car il s’intéresse à l’application NissanConnect présente sur son smartphone. Celle-ci lui permet de contrôler certaines fonctions de son véhicule à travers Internet.

En quinze minutes seulement il repère des faiblesses étonnantes et décide d’en parler à l’instructeur qui vient d’animer l’atelier. Ce dernier n’est autre que Troy Hunt, un expert des architectures de sécurité (Pro Tip : si vous ne connaissez pas Troy Hunt, suivez le ! !). 

L’instructeur et son stagiaire se penchent alors sur l’application mobile et la manière dont celle-ci communique avec les serveurs de Nissan. Ils vont aller de surprise en surprise…

Ils confirment d’abord les doutes du stagiaire : l’application identifie le véhicule de manière simpliste et peu sûre : elle ajoute les cinq derniers chiffres du numéro d’identification du véhicule à la fin de l’adresse web chargée de communiquer avec l’API. Il suffit donc de changer les cinq chiffres en question pour « se faire passer » pour un autre véhicule. 

Ce type d’erreur, particulèrement grossière, est vieux comme le monde.
Mais Nissan aurait pu échapper à l’humiliation publique en mettant en oeuvre dans son API une méthode d’authentification de l’utilisateur. Or ce n’est pas le cas : n’importe qui connaissant les URL en question peut se faire passer pour n’importe quel propriétaire de Nissan. Et cela depuis n’importe où dans le monde…

Pour ajouter l’insulte à l’injure, l’application NissanConnect est tellement peu ergonomique que sur les forums d’utilisateurs certains expliquent déjà comment la contourner et copier directement une URL dans leur navigateur afin d’allumer le chauffage de leur véhicule. Ce n’était donc qu’une question de temps avant que l’un deux ait l’idée de changer ces fameux cinq chiffres à la fin de l’adresse web…

Enfin, le dernier clou dans le cercueil : lorsque Troy Hunt contacte Nissan afin de faire part de sa découverte, le constructeur n’en tient pas compte car cela ne lui semble pas important. Ce n’est que plusieurs semaines plus tard, alors que Hunt menace de rendre sa découverte publique, que Nissan se décide à désactiver l’application le temps de trouver une solution.

On retrouve dans cette affaire les mêmes erreurs fondamentales qui ont conduit le fabricant d’alarmes SimpliSafe à revoir sa copie (lire notre article : L’alarme connectée, ou le piège des Objets Connectés) :

  • Un métier très éloigné de la sécurité web, et donc une méconnaissance de ses meilleures pratiques
  • Une volonté manifeste de « connecter pour connecter » : le numérique est vu comme un atout marketing (souvent d’ailleurs piloté par ce dernier), et donc décorrélé des choses sérieuses. Par opposition aux fonctions liées au coeur de métier, qui, elles, sont correctement protégées. Or avec le numérique une telle distinction ne tient plus
  • Une organisation structurellement incapable de communiquer avec les chercheurs de bugs (par méfiance, manque d’intérêt ou complexe de supériorité technique…)
  • L’absence d’une analyse de risque globale incluant le volet numérique et ses interactions avec les autres domaines métiers

Sur ce dernier point, faites d’ailleurs le test : essayez de trouver des références sérieuses à la sécurité dans les discours lénifiants sur la « transformation digitale ». Vous découvrirez probablement que ce domaine est préempté par le marketing et le business. Et sauf exception (je suis d’ailleurs intervenu sur le sujet dans le cadre d’un MBA marketing digital), ces profils sont encore hermétiques à la notion de sécurité.

Dans le cas des industriels, de ces vénérables constructeurs historiques, la « connexion » de l’objet est encore trop souvent vue comme une fonctionnalité de confort, dont la mise en oeuvre n’est pas jugée suffisamment critique pour bénéficier des même contrôles que ceux liés au coeur du métier. Hélas, ça finit toujours par se voir…  

Lire les articles précédents :
Sûreté : pourquoi maintenir l’illusion de la sécurité est une mauvaise idée

Trois mois après les attaques du 13 novembre les mesures de filtrage prises à l'entrée des lieux publics sont demeurées...

Fermer