Aller au contenu
cedric2

API non sécurisé

Messages recommandés

Pour info

http://www.troyhunt.com/2016/02/controlling-vehicle-features-of-nissan.html

 

En résumé, avec le numéro de chassis (celui que l'on peut voir sur le capo), on peut facilement, connaitre vos trajets et mettre en route le chauffage...

 

cedric

 

Si on leaf vous bloque une prise, vous pouvez donc faire des blagues au propriétaire, genre lui arreter la charge et lui mettre la chauffage a fond... histoire de lui vider la batterie... (J'espère que Nissan va corriger cela avant la réception de ma voiture !!)

Partager ce message


Lien à poster
Partager sur d’autres sites

il ne faut pas crier au loup trop vite (j ai pas lu l article, j ai du mal avec l anglais)

 

il me semble que la partie connexion est différente par chez nous.

pour avoir longuement discuté avec nos cousins canadiens, il est facile sur une page web d intercepter et réutiliser les requêtes concernant leur voiture, chose que j ai pas réussi a reproduire avec la mienne (ce qui m aurait arrangé, l appli windows mobile ne fonctionne plus depuis la maj des serveurs nissan debut fevrier )

Justement est ce que cette maj c etait pas un patch de sécurité ?

 

apres c est évident qu a partir du moment ou il y a de la telematique dans nos voiture ( un ordi, une connection data et des fonctions a gerer ) , ben c est accessible depuis l exterieur puisque c est le but ...

Partager ce message


Lien à poster
Partager sur d’autres sites

il ne faut pas crier au loup trop vite (j ai pas lu l article, j ai du mal avec l anglais)

 

On ne parle pas d'un hack de haut niveau, on parle ici d'une erreur de conception de débutant. Heureusement que l'on ne peut que allumer le chauffage avec cette appli.

L'appli n'utilise que le numéro de série (Celui sur le capot) pour s'authentifier... Pour moi, c'est juste inadmissible ! (Même si cela simplifie l'expérience utilisateur...)

 

J'ai pas encore la voiture, je ne peux pas tester. Mais l'appli semble la même chez nous, donc je ne vois pas pourquoi cela ne fonctionnerait pas pareil. Mais si c'est vrai, l'ingé de Nissan mérite quand même qques baffes... Internet n'est malheureusement plus un monde de bisounours...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

ce que j'aime dans tout cela c'est la prévenance de Nissan pour ses clients.

Et pourtant, ils ont mon n° de téléphone mobile puisque la semaine dernière j'ai reçu par sms une offre promotionnelle pour une vidange et un filtre à huile...

Par contre je n'ai rien reçu pour me prévenir de la désactivation de Nissan EV.

Dommage, dommage.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Quelqu'un de chez Nissan surveille nos post...

Et je suis mauvaise langue , car voici le mail reçu ce jour de Nisssan

 

L'APPLICATION NISSANCONNECT EV EST TEMPORAIREMENT INDISPONIBLE

NissanConnect

Bonjour,

 

Les fonctions de l’application NissanConnect EV (anciennement CARWINGS) sont temporairement suspendues.

Nous sommes sincèrement désolés des désagréments occasionnés.

Les seules fonctions affectées sont celles directement contrôlées à distance depuis l’application smartphone. Ces fonctions restent néanmoins accessibles dans le véhicule ou à partir du site depuis un ordinateur en cliquant ici.

Nos équipes techniques travaillent pour lancer au plus vite la mise à jour de l’application NissanConnect EV. Nous vous informerons dès que celle-ci sera disponible.

 

Merci de votre compréhension

Nissan NissanConnect

Partager ce message


Lien à poster
Partager sur d’autres sites

Via l'appli sur le portable, seul le VIN compte. Via un navigateur Internet, il faut avoir ouvert un compte, et donc, en plus du VIN connaître un mot de passe. C'est donc "un peu" plus sécurisé.

 

C'est sans doute pour cette raison qu'ils ont conservé l'accès via YOU+NISSAN par Internet. 9a laisse aux propriétaires de quoi accéder un minimum à leur voiture.

 

Franchement, je ne suis pas plus inquiet que ça que quelqu'un (qui s'y connaît un minimum en piratage informatique) puisse démarrer ma clim.

 

Par sécurité, j'ai masqué le VIN que l'on voit derrière le parebrise.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le risque lié a l'accès actuel est peut être faible, mais si le reste de l'integration sur cette voiture est du meme acabit, ca promet beaucoup de plaisir pour les chercheurs en failles informatiques qui vont se pencher sur ce modele.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bof, elles sont géo localisées par la puce intégrée (encas de vol).

A distance tu ne contrôle aucun organe de sécurité. Donc même si piratée, risque faible.

Il faut arrêter d'avoir peur de tout ce qui est informatique ou connecté. Les avantages sont bien supérieurs aux inconvénients.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le risque majeur n'est pas la taille du verrou sur la porte (Access utilisateur Lamba via l'interface web) mais bien la solidité des fenêtres.

 

On va donc attendre que les premières UC soient désassemblées et analysées et on verra bien ce qu'il est possible de faire en attaquant directement le moteur de l'API qui tourne dessus ou encore en pénétrant le système de la voiture via une méthode plus terre à terre pour ensuite l'exploiter à distance.

 

Ce n'est pas les options qui manquent et comme je disait précédemment, à la vue de ces erreurs de débutants dans la conception du système, le pire est à redouter.

 

En termes de sécurité informatique, le point majeur est une gestion globale de la Stratégie de protection. Car ce sera là maillon le plus faible qui sera exploité.

 

Les constructeurs traditionnels, n'ont pas cette culture car depuis des générations ils se contente assemblent des composants dont ils ont défini le cahier des charges fonctionnel (produits le plus souvent par des OEM). Du coup ils n'ont pas la capacité d'analyser l'impact d'une faiblesse en sécurité d'un composant sur le reste de la chaîne.

 

Tesla, par exemple, à une approche bien différente qui, grâce à leur Integration verticale (80% des composants conçus et produits en interne) ont organisés leur systems en domaines de sécurité en fonction de leur impact.

Partager ce message


Lien à poster
Partager sur d’autres sites

Nissan offre Connect depuis plusieurs années. As-tu connaissance d'UN cas d'intrusion qui ait été plus loin que "je démarre la clim" ?

 

Tu as raison sur tout ce que tu as dit, sauf que, comme pour tout, la dépense (l'effort) à mettre pour obtenir le résultat vaut-il le coup ?

 

Je ne crois pas qu'à partir de l'accès connecté on ait accès (en terme de commandes) à autre chose que la charge et la clim. Le reste c'est de la collecte de données. Quel intérêt, à part, et c'est ce qui s'est passé, monter que l'on est capable de le faire.

 

Je continue à ne pas avoir peur de ça. On a plus de risques de se faire rentre dedans par celui qui nous suit et qui n'a pas vu les stops car frein moteur.

Modifié par Invité

Partager ce message


Lien à poster
Partager sur d’autres sites

Via l'appli sur le portable, seul le VIN compte. Via un navigateur Internet, il faut avoir ouvert un compte, et donc, en plus du VIN connaître un mot de passe. C'est donc "un peu" plus sécurisé.

 

Non, on ne parle pas de passer par le site You+Nissan où il faut effectivement un compte, mais bien d'une requète directe à une adresse au moyen d'un navigateur, et là le VIN seul suffit...

Partager ce message


Lien à poster
Partager sur d’autres sites

Nissan offre Connect depuis plusieurs années. As-tu connaissance d'UN cas d'intrusion qui ait été plus loin que "je démarre la clim" ?

 

Aucune info publique sur le sujet, on verra bien avec le temps si ils ont bien fait leur bout sur le reste des systèmes.

Partager ce message


Lien à poster
Partager sur d’autres sites

Via l'appli sur le portable, seul le VIN compte. Via un navigateur Internet, il faut avoir ouvert un compte, et donc, en plus du VIN connaître un mot de passe. C'est donc "un peu" plus sécurisé.

 

Non, on ne parle pas de passer par le site You+Nissan où il faut effectivement un compte, mais bien d'une requète directe à une adresse au moyen d'un navigateur, et là le VIN seul suffit...

 

Et c'est bien pour ça que Nissan à bloqué les accès depuis les apps téléphones et tablettes, et continue à offrir l'accès via You+Nissan

Partager ce message


Lien à poster
Partager sur d’autres sites





×
×
  • Créer...
Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.