Réussir une jolie API REST avec de belles réponses en JSON, penser à faire de l'HTTPS, et oublier l'authentification, c'est quand même dommage...
En prime l'API en elle-même fournit déjà tellement d'information : le VIN est un identifiant unique du véhicule c'est une hérésie de l'utiliser en direct, et il aurait fallu passer les paramètres dans le body HTTP pour qu'ils soient chiffrés par HTTPS (quit à être moins RESTfull).
Les constructeurs automobiles vont vraiment devoir se muscler à ce niveau là, c'est une telle machinerie quand les pièces doivent être prêtes à partir en usine qu'il faut vraiment être costaud pour avoir le temps de penser à tout dans le temps imparti et avec toutes les contraintes métiers.
Tous les détails sur le récent hack de la Jeep Cherokee.
Cool ! Plus de détails sur le hack récent de la Jeep. Je me demandais comment ils avaient accéder au CAN à distance et je ne comprenais pas que Chrysler ait pu rendre le CAN accessible via le réseau même en le sécurisant. ça me semblait aberrant !
En fait c'est plus fourbe que ça ! C'est une suite de bugs et de failles. Ils peuvent passer par le WiFi du véhicule (un petit bug de sécurité sympa), mais ce n'est pas disponible sur toutes les Jeep. Alors ils accèdent plutôt à la Jeep directement via le réseau (3G ou autre ?) auquel elle se connecte. L'article n'expliquait pas de quelle manière. ça leur donne accès à la TCU (telecommunication unit) et donc à pas mal de trucs non critiques comme la musique, etc... (je pense qu'ils accèdent en fait aux même infos que si on se branche sur la prise OBD-II du véhicule) Jusqu'ici, l'attaque reste donc limité car ils n'accèdent pas véritablement au CAN. C'est quand même embêtant. Par contre, ils parviennent à accéder à une des machines qui lit des données sur le CAN. Ils sont parvenus à remplacer le firmware de cette machine et ils se sont rendus compte qu'ils pouvaient aussi écrire sur le CAN et donc potentiellement modifier le comportement du véhicule !! Reste à découvrir la messagerie CAN... et le tour est joué !
Je n'ose imaginer le temps nécessaire pour :