Argus Cyber Security collabore avec Bosch pour promouvoir la sécurité publique et réduire le piratage automobile

TEL AVIV, Israël et STUTTGART, Allemagne, April 13, 2017 /PRNewswire/ --

Le groupe de cyber-recherche leader du secteur d'Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d'authentification utilisant l'application Drivelog Connect et en a informé immédiatement Bosch, qui a pris des mesures immédiates pour résoudre les vulnérabilités.

     (Logo: http://photos.prnewswire.com/prnh/20160721/391784LOGO )

Argus Cyber Security, la plus grande société mondiale indépendante de cybersécurité automobile, et Bosch, fournisseur mondial de technologie et de services, ont annoncé aujourd'hui que des vulnérabilités de sécurité avaient été identifiées par les chercheurs d'Argus dans le dongle Bosch Drivelog Connector et dans son processus d'authentification utilisant l'application de smartphone Drivelog Connect qui a permis aux chercheurs de prendre le contrôle d'une voiture via Bluetooth. Suite à une divulgation responsable faite par Argus à Bosch, son équipe d'intervention en cas d'incident de sécurité des produits (Product Security Incident Response Team, PSIRT) a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Le groupe de recherche d'Argus a réussi à prendre le contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule. Une vulnérabilité identifiée dans le processus d'authentification entre le dongle et l'application de smartphone Drivelog Connect a permis aux chercheurs d'Argus de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l'aide d'un appareil Bluetooth standard, tel qu'un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, les chercheurs d'Argus ont pu reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule. En contournant effectivement le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis au groupe de recherche d'Argus de prendre le contrôle d'une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance.

Une description technique complète de l'attaque est publiée dans le blog d'Argus.

« La mission d'Argus est d'assurer la cybersécurité des véhicules et notre collaboration continue avec des fournisseurs et des fabricants internationaux de catégorie 1 nous permet de fournir les solutions de cybersécurité les plus perfectionnées pour l'industrie automobile », a déclaré Yaron Galula, directeur de la technologie et co-fondateur d'Argus. « La découverte de Bosch démontre que les solutions basées sur la cryptographie ne sont pas infaillibles, même quand elles sont conçues par des leaders de l'industrie, et que des défenses sont requises à de multiples niveaux pour protéger efficacement les véhicules des cybermenaces. »

Dès qu'Argus a détecté des vulnérabilités de sécurité dans le dongle Bosch Drivelog Connector, Bosch en a été dument informé. Le niveau d'attention que la question a suscité au sein de la haute direction de Bosch était significatif et leur Product Security Incident Response Team a réagi rapidement pour résoudre immédiatement les problèmes à travers leurs divisions de sécurité et de développement.

Bosch a exprimé sa gratitude à l'équipe d'Argus pour la divulgation responsable de ces vulnérabilités et pour leur aide tout au long du processus. « Bosch prend la sécurité très au sérieux. Quand Argus nous a informés de ces lacunes de sécurité, nous avons réagi immédiatement et réglé les problèmes », a déclaré Thorsten Kuhles, directeur de la Bosch Product Security Incident Response Team (PSIRT).  Peu de temps après avoir été notifié, Bosch a déjà effectué une correction initiale. Il est important de noter que l'évolutivité d'une attaque malicieuse potentielle est limitée par le fait qu'une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le forçage brut du code PIN pour un dongle donné et l'envoi d'un message CAN malicieux adapté aux contraintes du dongle et du véhicule. « Afin d'améliorer encore plus la sécurité, un correctif qui répare les faiblesses sous-jacentes du protocole de cryptage sera bientôt disponible. Ce correctif évitera le type d'attaque décrite par Argus », ajoute M. Kuhles. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d'envoyer des messages CAN non désirés et sera déployé avec d'autres améliorations plus tard dans l'année.

Pour en savoir plus, veuillez vous référer au Bosch Security Advisory.

À propos d'Argus :   

Argus est la plus importante société mondiale indépendante de cybersécurité automobile. La gamme complète et éprouvée de solutions d'Argus protège les voitures et les véhicules commerciaux connectés contre les cyberattaques. Forte de dizaines d'années d'expérience à la fois en cybersécurité et dans l'industrie automobile, Argus offre des méthodes de sécurité innovantes et un savoir-faire éprouvé de mise en réseau informatique alliés à une connaissance approfondie des meilleures pratiques automobiles. Ses clients incluent notamment des constructeurs automobiles, leurs fournisseurs de catégorie 1 et des fournisseurs de connectivité du marché secondaire. Fondée en 2013, la société Argus est basée à Tel Aviv, en Israël, et possède des bureaux dans le Michigan, dans la Silicon Valley, à Stuttgart et à Tokyo. Visitez argus-sec.com pour plus d'informations.

À propos de Bosch :   

Le Groupe Bosch est un fournisseur international majeur de technologie et de services. Il emploie environ 390 000 collaborateurs dans le monde (au 31 décembre 2016). D'après des chiffres préliminaires, la société a enregistré un chiffre d'affaires de 73,1 milliards d'euros en 2016. Ses opérations sont divisées en quatre secteurs commerciaux : Solutions de mobilité, Technologie industrielle, Biens de consommation, et Énergie et Technologie de construction. Le Groupe Bosch est constitué de Robert Bosch GmbH et d'environ 450 filiales et sociétés régionales dans environ 60 pays. Si l'on inclut ses partenaires de vente et de service, le réseau mondial de fabrication, d'ingénierie et de vente de Bosch couvre presque tous les pays du monde. Un complément d'information est disponible en ligne sur http://www.bosch.com.

@ArgusSec | LinkedIn

Contact pour Argus :
Brandon Weinstock
[email protected]
+1-914-336-4878

Contact pour Bosch :
Annett Fischer
[email protected]
+49-7062-911-7837