🚗 Kia laissait voler des millions de voitures à distance !

Au programme :

La Suggestion du Barman : 🚗 Kia laissait voler ses voitures à distance.
En Image : 🚙 Les fragilités des véhicules connectés. ✨
Vos shots :
🌳 Comment un britannique a utilisé la généalogie pour pirater, trader et s'enrichir illégalement ✨
💾 Le rapport de la FTC révèle des dérives des géants de la tech sur la collecte des données. ✨
🇰🇵 Des pirates nord-coréens ciblent une entreprise de défense allemande. ✨
🏦 Le nouveau cheval de Troie Android Octo2 cible les services bancaires mobiles européens. ✨
🎯 Le groupe de rançongiciel Storm-0501 cible les environnements hybrides. ✨
Pétillant : ✅ Microsoft fait le point sur ses progrès en sécurité depuis les piratages de 2023.
Digestif : 🕹 Super Smash Bros remixé à la sauce ‘années 70’ grâce à l’IA. ✨

✨Réservé aux membres Premium. L’essai est gratuit !

〜 LA SUGGESTION DU BARMAN 〜

🚗 Kia laissait voler ses voitures à distance !

Une faille de sécurité récemment découverte dans des millions de véhicules Kia permettait à des pirates de contrôler à distance des fonctions essentielles de la voiture en utilisant seulement un numéro de plaque d'immatriculation, soulevant de nouvelles inquiétudes sur les vulnérabilités des véhicules connectés.

Des analystes indépendants, dirigés par l'expert en cybersécurité Sam Curry, ont découvert cette vulnérabilité dans des véhicules Kia produits depuis 2014. En exploitant une faille dans l’API utilisée par les concessionnaires Kia, ils ont pu déverrouiller les voitures, démarrer les moteurs et même géolocaliser les véhicules à l'insu de leurs propriétaires. Sur youtube, Sam Curry précise cette semaine :

"Il suffit simplement d'avoir la plaque d'immatriculation de la victime”.

L'attaque ne nécessitait donc pas d'outils sophistiqués. Seuls un téléphone et le numéro de plaque d'immatriculation suffisaient. L'équipe de Curry a également découvert que les attaquants pouvaient voler des données personnelles, telles que le nom, l'adresse et le numéro de téléphone des propriétaires de véhicules.

“La configuration nécessite de définir une adresse e-mail d'attaquant. Une fois que vous avez saisi la plaque d'immatriculation, cela récupérera le nom, l'e-mail et le numéro de téléphone de la victime, puis vous ajoutera comme utilisateur secondaire de leur véhicule sans jamais les en informer."

Kia a depuis corrigé cette faille, mais cet incident s'inscrit dans une tendance inquiétante au sein de l'industrie automobile. À mesure que les véhicules deviennent plus connectés, des failles similaires sont découvertes chez des constructeurs tels que Honda, BMW et Nissan.

Pourquoi c'est important : Alors que les voitures dépendent de plus en plus de systèmes numériques, le risque de cyberattaques augmente. La faille de Kia est la dernière d'une série d'incidents qui montrent comment des API non sécurisées, les protocoles numériques qui permettent des fonctions à distance comme le verrouillage/déverrouillage et le démarrage des véhicules, créent des risques majeurs pour la sécurité et la confidentialité des conducteurs.

L'incident de Kia est un signal d'alarme supplémentaire pour l'ensemble de l'industrie. Comme l'indique David Brumley, PDG de ForAllSecure : “Hier, les conducteurs s'inquiétaient de perdre leur clé électronique. Aujourd'hui, ils doivent s'inquiéter de savoir si l'API de leur voiture est vulnérable aux pirates.” Les voitures connectées représentent l'avenir, mais la faille chez Kia démontre une nouvelle fois à quel point la sécurité des véhicules connectés peut être fragile.

Et bien que les fonctionnalités numériques soient de plus en plus demandées, elles créent également de nouveaux vecteurs d’attaque pour les attaquants. Les constructeurs automobiles doivent repenser leur approche de la cybersécurité.

Pour en savoir plus : qu’est-ce qu’une API ?

Une API (Application Programming Interface) est un outil clé pour permettre à différentes applications de communiquer entre elles. En termes simples, une API est comme un “menu” que des logiciels ou plateformes peuvent utiliser pour demander des informations ou des services à une autre application, sans en connaître les détails techniques.

Imaginez que vous êtes dans un restaurant et que le serveur prend votre commande pour la transmettre à la cuisine. Ici, le serveur agit comme une API : il reçoit votre demande (la commande), la transmet au système approprié (la cuisine) et vous renvoie la réponse (votre plat). Les API fonctionnent de manière similaire dans le monde numérique, facilitant le transfert d’informations, comme l’envoi de données depuis un site web vers une application mobile.

Ce mécanisme est essentiel pour de nombreuses applications modernes. Par exemple, lorsque vous utilisez une application de météo, celle-ci se connecte à une API pour récupérer les données météorologiques en temps réel, ou quand vous payez en ligne, le site marchand interagit avec une API bancaire pour traiter votre paiement.

〜 PÉTILLANT 〜

✅ Microsoft fait le point sur ses progrès en sécurité depuis les piratages de 2023

Microsoft a récemment publié un premier rapport détaillant les mesures prises dans le cadre de sa Secure Future Initiative (SFI), lancée en novembre 2023 après une série d'incidents de sécurité majeurs. Ce programme, présenté comme le plus vaste projet de cybersécurité de l'histoire de l'entreprise, vise à renforcer la protection de ses infrastructures et celles de ses clients, en particulier dans le cloud.

Suite à des attaques menées par des groupes de hackers, notamment Storm-0558, Microsoft met désormais en avant des principes clés comme la sécurité par conception et par défaut.

À retenir :

👉 Envergure de l'Initiative : Microsoft a mobilisé 34 000 ingénieurs à plein temps pour le Secure Future Initiative (SFI), ce qui en fait le plus grand effort d'ingénierie en cybersécurité jamais entrepris. L'initiative repose sur 6 piliers de sécurité essentiels.

👉 Transformation Culturelle : La sécurité est devenue une priorité absolue chez Microsoft, intégrée aux évaluations de performance des employés, et la rémunération des dirigeants est désormais liée à leurs résultats en matière de sécurité. L'Académie des Compétences en Sécurité assure que chaque employé bénéficie d'une formation personnalisée sur la sécurité.

👉 Gouvernance : Le Conseil de Gouvernance en Cybersécurité, dirigé par les Directeurs Adjoints de la Sécurité de l’Information (CISOs adjoints) et Igor Tsyganskiy, supervise la gouvernance de la sécurité à l'échelle de l'entreprise, gérant les risques et veillant à la conformité.

👉 Progrès techniques :

• Protection des Identités : Mise en œuvre d’identification résistantes aux tentatives de phishing et vérification par vidéo.

• Sécurisation des Systèmes et des “Locataires” : Élimination de 5,75 millions de locataires (tenants) inactifs et de 730 000 applications inutilisées, réduisant ainsi considérablement la surface d'attaque potentielle.

• Sécurité Réseau : Plus de 99 % des actifs réseau sont maintenant inventoriés et protégés par une micro-segmentation pour empêcher les mouvements latéraux.

👉 Systèmes d'ingénierie : Microsoft a renforcé la sécurité en réduisant la durée de vie des jetons d'accès personnel, en éliminant l'accès SSH, et en utilisant des modèles de pipelines centralisés pour des déploiements logiciels sécurisés et cohérents.

👉 Surveillance et détection : Microsoft a mis en place une collecte centralisée des journaux sur plus de 99 % des dispositifs réseau, avec une politique de rétention des données de deux ans pour permettre des analyses judiciaires et des recherches de menaces plus approfondies.

👉 Transparence et engagement client : Microsoft publie désormais des CVEs (vulnérabilités critiques) pour ses services cloud, même lorsqu'aucune action de la part des clients n'est requise, et a créé le Bureau de Gestion de la Sécurité Client (CSMO) pour améliorer la communication en cas d'incidents de sécurité.

👉 Engagement pour l'avenir : Microsoft continue d'adapter le SFI face aux nouvelles menaces, et s'engage dans la collaboration avec l'industrie, notamment à travers des initiatives comme le Secure by Design pledge de la CISA.

Tu as lu 30% du Shake. Pour lire les 70% restants, débloque ton abonnement premium et soutiens le premier média cyber indépendant. ✨

À l’occasion du Cybermois Européen, Shakerz t’offre 30 jours d’essai gratuit à l’abonnement Premium.