Connexion
Abonnez-vous

14 failles identifiées dans des voitures BMW, 5 exploitables à distance

14 failles identifiées dans des voitures BMW, 5 exploitables à distance

Le 25 mai 2018 à 09h33

L'équipe de chercheurs de Tencent Keen Security Lab a publié un papier d'une vingtaine de pages afin de présenter ses découvertes, sans détails techniques pour le moment. Les informations ont été transmises en amont au fabricant automobile, pour qu'il déploie des mises à jour. Les chercheurs prévoient ensuite une publication technique complète début 2019.

BMW a de son côté décidé de communiquer ouvertement et de récompenser les chercheurs pour leurs travaux. Le fabricant leur attribue ainsi le premier prix du « BMW Group Digitalization and IT Research ». Avec cette récompense, « nous voulons remercier les experts qui nous soutiennent dans la transformation vers la mobilité numérique » déclare Christoph Grote, vice-président de BMW Group.

« Nous remercions Tencent Keen Security Lab pour leurs efforts considérables, leurs recherches avancées et leur collaboration hautement professionnelle. » BMW est désormais en discussion avec les chercheurs afin de mettre en place une coopération durable autour de la sécurité.

Le 25 mai 2018 à 09h33

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est flippant…



Mais au moins l’attitude de BMW semble positive…

votre avatar

J’espère que le prix « BMW Group Digitalization and IT Research » est accompagné d’une petite rémunération…sinon les prochaines failles pourraient être vendues ailleurs…

votre avatar







Pilipooop a écrit :



C’est flippant….







C’est dans les détails que tu dois avoir peur : “A

“the software vulnerabilities we found can be fixed by online re-configuration and offline firmware upda

te (not Over-The-Air upgrade)”



Je trouve ça quand même “flippant” que des mises à jour touchant le hardware puisse être fait en OTA, sans que l’utilisateur le sache, je n’ai jamais vu un message “votre voiture doit subir une mise à jour, voulez-vous l’effectuer maintenant?”


votre avatar

A propos de l’accident d’Uber, vu qu’il n’est pas dans la brève je met l’info ici, le rapport préliminaire est sortie :https://www.ntsb.gov/investigations/AccidentReports/Reports/HWY18MH010-prelim.pd…



Uber a enchainé les failles, s’en est ridicule. J’espère que la famille de la victime les a bien fait cracher au bassinet…

votre avatar

Des réglages (dont on ne connait pas l’étendu) peuvent être fait OTA, les mises à jours sont offline comme indiqué dans ta propre citation.

votre avatar

Si BMW avait été une boite française, Tencent aurait été trainé en justice (coucou Bluetouff)

votre avatar

Quand tu lis le document, il apparait que la partie “OTA” concerne que le multimedia car cela tourne sous QNX qui est mal configuré (driver USB-Ethernet encore present, bluetooth avec corruption de mémoire….)

Il est par contre impossible de mettre l’ECU à jour sans un accès physique à l’équipement et heureusement :)



C’est surtout que le monde de l’automobile est TRES fermé, pas de note de mise à jour, mise à jour en OTA, on n’est pas propriétaire du véhicule, juste utilisateur :‘( C’est pour cela que je ne roulerai pas en Tesla, dernièrement, une mise à jour sur le système de freinage va être deployer pour améliorer la distance de freinage sur la tesla 3, ou encore débridage de la limite de km quand il y a eu l’ouragan au USA, aucun moyen de bloquer les mise à jour ou d’avoir une release note :(

votre avatar

Ça dépend des marques, chez Tesla tu peux tout mettre à jour mais ta voiture te le demande si tu acceptes d’installer la mise à jour où pas.

votre avatar







ajangot a écrit :



… je n’ai jamais vu un message “votre voiture doit subir une mise à jour, voulez-vous l’effectuer maintenant?”





Moi si, j’ai eu une fois ce message sur le système multimédia de mon Alfa peut après en avoir prit livraison, maintenant sans aucun numéro de version ni changelog impossible de savoir ce que ça contenait.


14 failles identifiées dans des voitures BMW, 5 exploitables à distance

Fermer