Un hacker ouvre n’importe quelle voiture à distance, la faille qui inquiète
Cyrille Jeunehomme — 12 août, 2025
Imaginez la scène. Vous laissez votre voiture au parking du boulot et pendant que vous savourez un café, un inconnu à l’autre bout du monde déverrouille votre véhicule. Pas de science fiction ici. C’est exactement ce qu’a prouvé Eaton Zveare, chercheur en cybersécurité chez Harness, en révélant une faille monstrueuse chez un constructeur automobile resté anonyme.
Une faille trouvée avec deux bugs ridiculement simples
Lors de sa présentation au DEF CON 33, Zveare a raconté comment il avait créé un compte national admin sur le portail concessionnaire d’un grand constructeur. Deux bugs API mal gérés et tout était ouvert. En modifiant simplement le code chargé dans le navigateur à la connexion, il a contourné l’authentification et obtenu un accès complet à plus de mille concessionnaires américains.
Le contrôle total d’un véhicule en quelques clics
Avec son compte admin fantôme, Zveare pouvait retrouver n’importe quelle voiture du constructeur grâce à un outil de recherche national. Il a testé la manipulation sur le véhicule d’un ami avec accord préalable et transféré la propriété vers un compte qu’il contrôlait. Résultat immédiat il pouvait déverrouiller la voiture à distance. Le portail demandait juste une attestation sur l’honneur. Niveau sécurité on repassera.
Une menace qui dépasse un seul constructeur
Ce cas n’est pas isolé. Les cyberattaques sur les voitures ont bondi de 225 pour cent en trois ans. Avec la quasi totalité des véhicules fabriqués en 2025 connectés à internet, le risque est immense. Des millions de Kia et Subaru ont déjà été affectées par des failles similaires. Le plus inquiétant reste la fonction impersonation qui permettait à Zveare de se faire passer pour n’importe qui et de naviguer dans tous les systèmes interconnectés des concessionnaires.
Un chercheur en sécurité a découvert une faille simplissime permettant de déverrouiller à distance des milliers de voitures. L’affaire souligne l’urgence de sécuriser les API et les systèmes des véhicules connectés.
Stratégie globale, gouvernance et continuité d’activité
Définir une politique claire et un cadre de gouvernance solide
Une cybersécurité durable repose sur une approche stratégique. Définir une politique de sécurité (PSSI) permet d’établir des règles homogènes : gestion des accès, classification des informations, obligations des utilisateurs, exigences de sécurité pour les prestataires, procédures d’urgence.
Ce cadre clarifie les responsabilités, élimine les zones grises et garantit une prise de décision cohérente, même en situation de crise.
Structurer les processus et intégrer la sécurité à chaque niveau
Une stratégie efficace implique de formaliser les processus : contrôle des accès, revues périodiques, gestion des incidents, validation des outils numériques, supervision du réseau, exigences pour les environnements cloud.
Cette approche ne se limite pas à la technique : elle englobe aussi les aspects organisationnels, juridiques et réglementaires, notamment la conformité RGPD ou les bonnes pratiques inspirées des normes ISO 27001.
Assurer la continuité d’activité et la capacité de reprise
Au-delà de la prévention, une entreprise doit être en mesure de continuer à fonctionner après un incident. C’est le rôle du plan de continuité (PCA) et du plan de reprise d’activité (PRA). Ils prévoient comment restaurer les systèmes, quelles équipes intervenir, quels services redémarrer en priorité et quels délais accepter.
Associer gouvernance, processus clairs et continuité d’activité permet de bâtir une véritable stratégie de cybersécurité durable, adaptée aux menaces actuelles.
FAQ – Cybersécurité : bases essentielles
Quelles sont les bonnes pratiques de sécurité informatique ?
Mettre à jour les systèmes, limiter les accès et effectuer des sauvegardes régulières sont des réflexes essentiels.
Comment protéger les données sensibles ?
En utilisant des contrôles d’accès stricts et des solutions de protection des données adaptées.
Quels outils de cybersécurité utiliser ?
Un antivirus fiable, un pare-feu actif et l’authentification multifacteur constituent une base solide.