Honda Civic de dixième génération, vue avant
honda 

Faille de sécurité sur la Honda Civic : un voiturier mal intentionné pourrait installer un mouchard

Vincent
Honda Civic de dixième génération, vue avant

Un chercheur en sécurité, Eric McDonald, a mis au jour une faille dans le système multimédia de la Honda Civic de 2021, la dixième génération. Baptisée EvilValet, elle permettrait à une personne ayant un accès physique au véhicule, comme un voiturier, d’installer un logiciel espion en quelques minutes.

L’écran central de la Civic, celui qui gère la navigation, la radio et les réglages, fonctionne sous AOSP, la version libre et gratuite d’Android que de nombreux constructeurs adaptent à leur sauce. Honda s’appuie ici sur une déclinaison maison conçue par Mitsubishi.

En fouillant le système, McDonald a trouvé un détail gênant : dans un dossier interne, les clés de test d’AOSP étaient toujours présentes. Ces signatures servent aux développeurs en usine pour valider leurs versions d’essai, et devraient disparaître avant que la voiture ne quitte la chaîne de montage. Le problème, c’est qu’elles sont publiques et documentées depuis des années, récupérables en quelques secondes sur internet.

Or l’écran de la Civic accepte les mises à jour déposées sur une clé USB, à la seule condition que le fichier soit correctement signé. Avec cette clé de test publique, il devient possible de signer un programme malveillant que l’ordinateur de bord installera comme s’il s’agissait d’une mise à jour officielle de Honda.

Pochette Faraday pour clé de voiture (anti-RFID)

Pour protéger votre véhicule des attaques sur la clé sans contact, une pochette Faraday bloque le signal :

Pochette Faraday pour clé de voiture (anti-RFID) → voir sur Amazon

Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.

Le scénario est simple. Vous confiez vos clés à un voiturier, le temps d’un dîner. Pendant ce temps, il branche sa propre clé USB, installe un mouchard, puis vous rend le véhicule sans que rien ne paraisse. Un système multimédia moderne embarque un micro, un GPS, parfois une caméra : de quoi écouter, suivre les trajets ou filmer, sans le moindre voyant d’alerte.

Il y a tout de même une limite rassurante. Les dégâts s’arrêtent à l’écran. Le moteur, la direction et les freins restent hors d’atteinte de cette faille, la partie multimédia étant cloisonnée à part dans l’architecture du véhicule. Le risque est donc l’espionnage, pas la perte de contrôle.

Le sujet dépasse d’ailleurs la seule Honda. Ces écrans sont souvent produits par des équipementiers comme Valeo ou Continental, qui fournissent des dizaines de constructeurs. Un oubli de ce type pourrait donc se retrouver, à l’identique, dans des modèles n’ayant aucun lien entre eux. De quoi s’interroger sur l’état réel de la sécurité dans nos voitures connectées.

Crédit photo : Wikimedia Commons