Si vous possédez une Honda récente, mieux vaut vous procurer un dispositif de verrouillage du volant. En effet, une attaque récemment publiée permet aux voleurs de démarrer les moteurs et d'ouvrir les portes des véhicules Honda à l'aide des codes des télécommandes d'entrée sans clé. Tous. Le hack Honda a un nom, "Rolling PWN". Nous vous dirons de quoi il s'agit et comment vous pouvez vous protéger contre cette forme de vol de voiture.
La base de données nationale des vulnérabilités appelle le piratage une "attaque de resynchronisation de compteur" et lui a attribué CVE-2021-46145. Dans sa forme la plus simple, le hack permet aux voleurs de voitures de voir un code valide précédent utilisé à partir d'un porte-clés. Ensuite, les codes sont renvoyés à la voiture. Cela réinitialise le générateur de nombres pseudo-aléatoires interne ou le compteur PRNG avant que le code valide ne soit utilisé.
De cette façon, les voleurs peuvent rejouer la série de codes séquentiels précédemment valides pour ouvrir n'importe quelle porte Honda. Ce dont les pirates ont besoin, ce sont ces anciennes clés valides. Pour cela, ils peuvent attacher un dispositif de journalisation à la voiture pour collecter des codes valides. Ils peuvent également placer un bûcheron à proximité de la Honda. Quoi qu'il en soit, au cours de quelques jours, les voleurs peuvent voir les codes valides et les rejouer pour pirater la voiture.
Blake Berry et Ayyappan Rajesh ont initialement trouvé le hack, selon BleepingComputer. Capturer des codes à retransmettre pour faire différentes choses était une autre découverte. En "retournant" puis en renvoyant le code de verrouillage, les deux chercheurs ont pu déverrouiller une Honda Civic.
Les chercheurs ont découvert une vulnérabilité Honda similaire en 2019. Elle a reçu le numéro NVD CVE-2019-20626. Après avoir informé Honda of America, ils ont découvert que la société n'aurait mis en place aucune mise à jour ou correctif de sécurité. Et les chercheurs ont même proposé une solution.
En utilisant des "codes tournants", de nouveaux codes sont nécessaires pour répondre aux demandes d'authentification. L'utilisation d'anciens codes valides ne fonctionnera pas. Mais nous comprenons que les Honda 2021 et plus utilisent désormais des codes roulants.
Honda, pour sa part, n'a aucun plan pour régler le problème. Il a déclaré à BleepingComputer:"Honda n'a pas l'intention de mettre à jour les véhicules plus anciens pour le moment." Honda soutient également que les voleurs utilisent d'autres méthodes pour voler des voitures et que cette approche de haute technologie, qu'elle n'a pas vérifiée, utilise des équipements sophistiqués auxquels la plupart des voleurs n'ont pas accès.
Il existe des moyens de contrer les vulnérabilités des porte-clés. Vous pouvez les stocker dans une pochette Faraday qui fonctionne comme un bloqueur de signal. Si vous achetez une nouvelle voiture, vous pouvez opter pour un système d'entrée sans clé passif. Avec PKE ou "clé intelligente", vous pouvez verrouiller et déverrouiller les portes à proximité, sans avoir à appuyer sur les boutons de la porte ou du porte-clés. Un pirate aurait besoin d'être proche de la source PKE pour enregistrer les codes de verrouillage ou de déverrouillage.