Onstar est une entreprise de prestation de service en réseau destiné aux automobilistes. Filiale de la General Motors, il est logique que ledit service soit répandu sur les véhicules de la marque, et notamment Opel en Europe.
C’est ce service qui a fait les frais des recherches de Samy Kamkar telles que décrites par nos confrères de ComputerWorld ou de Wired et qui feront l’objet d’une présentation à la prochaine DefCon.
Kamkar a développé une sorte de mallette à la « P0wn Plug », baptisée avec à-propos 0wnStar, dont le rôle est de fournir toutes les informations nécessaires à la conduite d’une attaque « man in the middle ». La recette de 0wnStar est simple : Une pincée de Raspberry Pi, un zeste de carte GSM, saupoudrez avec un mini-routeur Wifi, alimentez le tout, servez chaud. Lorsque l’intrus est parvenu à s’insérer dans la chaine de liaison qui relie le véhicule au service Onstar, il est capable d’accéder à toutes les commandes et informations gérées par le service. Et à commencer par localiser la voiture, télécommander l’ouverture des portes, la faire démarrer à distance. Une courte séquence vidéo tournée par l’auteur explique sans trop de détails les principales fonctions de sa mallette secrète.
Encore un hack de voiture, après le coup médiatique de Charlie Miller ? Bien plus que ça en fait. Déjà, par le passé, d’autres conférenciers de la BH, DefCon ou CanSecWest sont parvenus à détourner des services analogues, à tel point que tout ça frise le banal. Non. Ce qui mérite l’attention du public, cette fois, c’est le travail amont effectué par Kamkar, et surtout ses efforts de vulgarisation en matière de sniffing radio, de décodage des types de modulation utilisés, d’analyse et d’extraction de données transportées par des liens HF… la conférence que donnera Kamkar sera un véritable cours sur l’usage des outils de hacking électromagnétique et sur les différents usages que l’on peut faire de sa fameuse 0wnStar. Onstar, malgré les nombreuses erreurs d’intégration qui ont permis cette intrusion, n’est jamais qu’un prétexte pour montrer qu’il est imprudent de vouloir superviser une flotte de véhicules sans totalement verrouiller et les liaisons GSM, et les réseaux Wifi, Bluetooth ou autres qui peuvent être utilisés dans une automobile. Le métier d’intégrateur dans le secteur des transports a encore beaucoup à apprendre en matière de sécurité informatique.