Selon TechCrunch, à la veille de sa présentation à Def Con, le chercheur en sécurité Eaton Zveare (Harness) a révélé avoir découvert plus tôt cette année des failles majeures dans le portail web centralisé des concessionnaires d’un constructeur automobile largement connu (non nommé), permettant la création d’un compte « national admin » avec un accès illimité.
Impact et portée: avec ces droits, un attaquant aurait pu consulter les données personnelles et financières des clients, suivre des véhicules, et activer des fonctionnalités de contrôle à distance (ex. déverrouillage) via l’application mobile 🚗🔓. L’accès couvrait plus de 1 000 concessions aux États‑Unis, offrant une visibilité silencieuse sur les données, finances et leads des concessionnaires.
Mécanisme de la vulnérabilité: la logique de connexion côté client chargée dans le navigateur contenait des bugs permettant de modifier le code et contourner l’authentification, jusqu’à créer un compte admin national. Les systèmes concessionnaires interconnectés via SSO facilitaient les pivots d’un système à l’autre, et une fonction d’impersonation autorisait l’accès en tant qu’autres utilisateurs sans leurs identifiants — un schéma rappelant une fonctionnalité observée en 2023 dans un portail Toyota.
Abus possibles observés: le portail incluait un outil national de recherche consommateur permettant d’identifier un propriétaire à partir d’un VIN vu sur un pare-brise ou d’un nom et prénom. Il était aussi possible d’associer un véhicule à un compte mobile ou de transférer une propriété sur simple attestation (sans vérification forte). Zveare a validé le scénario avec le consentement d’un ami; il n’a pas testé la conduite du véhicule mais note le risque d’intrusion et vol d’objets.
Constats supplémentaires: le constructeur n’a trouvé aucune preuve d’exploitation passée. Zveare ne nomme pas le constructeur (plusieurs sous‑marques populaires) et souligne les risques systémiques des portails des réseaux de distribution. Type d’article: article de presse spécialisé relayant une divulgation de vulnérabilité et ses impacts.
🔗 Source originale : https://techcrunch.com/2025/08/10/security-flaws-in-a-carmakers-web-portal-let-one-hacker-remotely-unlock-cars-from-anywhere/