Honda corrige un bogue repéré par un chercheur sur la plate-forme des concessionnaires d'équipement américains

Jun 06, 2023

Honda a déclaré avoir corrigé une vulnérabilité qui aurait pu permettre à quiconque de prendre en charge des comptes sur une plate-forme utilisée par les concessionnaires Honda Power Equipment et Honda Marine aux États-Unis.

Cette semaine, l'expert en cybersécurité Eaton Zveare a expliqué comment il avait pu compromettre la plate-forme en exploitant une faille qui permettait "facilement" de réinitialiser le mot de passe de n'importe quel compte.

L'outil est destiné aux concessionnaires américains qui vendent des produits Honda tels que des groupes électrogènes, des tondeuses à gazon et des moteurs hors-bord. Le problème ne semble pas avoir d'impact sur l'activité automobile de Honda, mais Zveare a déclaré que ceux qui achetaient d'autres produits Honda en ligne pouvaient être à risque.

Honda a confirmé la vulnérabilité avec Zveare en avril et a déclaré à Recorded Future News qu'une fois informé du problème, il "a rapidement isolé l'accès aux sites, a ensuite mis à jour les mesures de sécurité des sites" et les a finalement remis en service.

"Pour le moment, Honda n'a connaissance d'aucune utilisation de cette vulnérabilité pour accéder aux informations sensibles des consommateurs ou des concessionnaires stockées sur les sites ou de toute activité malveillante", a déclaré le porte-parole.

"Bien que nous regrettions sincèrement toute appréhension que cette situation puisse causer à nos clients ou revendeurs, nous apprécions d'avoir reçu un avis du chercheur, ce qui nous a permis de prendre des mesures rapides pour résoudre le problème."

Zveare a déclaré que la vulnérabilité lui permettait d'accéder à toutes les données de la plate-forme, même lorsqu'il se connectait à partir d'un compte de test. Grâce à son accès, il a pu voir 21 393 commandes de clients chez tous les concessionnaires d'août 2016 à mars 2023 - y compris les noms, adresses, numéros de téléphone et articles commandés des clients.

Il a également pu accéder aux informations de 1 570 sites Web de concessionnaires et modifier n'importe lequel des sites. La vulnérabilité lui a donné la possibilité de voir les 3 588 comptes de concessionnaires et de modifier les mots de passe de n'importe quel utilisateur. Il a vu plus de 1 000 e-mails de concessionnaires et plus de 11 000 e-mails de clients.

Zveare a noté qu'il avait peut-être pu accéder aux clés privées Stripe, PayPal et Authorize.net des revendeurs qui les avaient mises sur la plateforme.

Il a été inspiré pour tester la plate-forme après avoir fait des vagues en février pour avoir pris le contrôle total d'une application Web Toyota appelée Global Supplier Preparation Information Management System (GSPIMS), en octobre 2022. Cette plate-forme est utilisée pour coordonner des projets, des pièces, des enquêtes, des achats et plus encore.

"Après avoir réussi à percer les systèmes de Toyota à quelques reprises à la fin de l'année dernière, j'ai voulu m'essayer à une nouvelle cible de constructeurs automobiles. Pourquoi Honda ? La famille d'un bon ami à moi adore les véhicules Honda, alors j'ai pensé que si je trouvais une vulnérabilité intéressante, cela ferait un sujet de conversation amusant", a-t-il déclaré.

Honda possède la plate-forme de commerce électronique Honda Dealer Sites depuis 2016 et permet aux concessionnaires de créer facilement un site Web ou une vitrine pour vendre des produits Honda.

Zveare a trouvé un moyen d'accéder au site via une autre plate-forme connectée appelée Power Equipment Tech Express (PETE). Il a découvert qu'abuser du mécanisme de réinitialisation du mot de passe sur PETE fonctionnerait également pour les comptes sur la plate-forme principale.

Il craignait de bloquer un vrai utilisateur hors de son compte, il a donc utilisé un exemple de compte utilisé dans un webinaire YouTube pour les concessionnaires Honda. À partir de là, tout ce dont il avait besoin était une adresse e-mail pour entrer.

"La vulnérabilité de réinitialisation du mot de passe était importante et maintenant je savais que si je trouvais un vrai e-mail de revendeur, je pourrais facilement accéder à leur compte. Cependant, cela pourrait potentiellement perturber leur entreprise, alors j'ai évité de le faire et j'ai plutôt essayé de trouver un autre exploit moins perturbateur ", a-t-il expliqué.

Il a ensuite eu accès à de grandes quantités de données en découvrant que tous les comptes avaient des numéros séquentiels qui leur étaient attribués. Pour consulter le compte d'un autre concessionnaire, il suffisait simplement de modifier l'URL d'un chiffre.

Zveare a déclaré qu'au niveau le plus élémentaire, un pirate aurait pu facilement divulguer toutes les données des clients et les informations sur les concessionnaires. Mais des pirates plus sophistiqués et motivés financièrement auraient pu exploiter leur accès pour lancer des campagnes de phishing ciblées sur les clients dans le but de voler des informations plus précieuses ou d'installer des logiciels malveillants.

Il a noté qu'après avoir signalé le problème à Honda en mars, ils ont supprimé l'ensemble du réseau de sites Web et lui ont confirmé qu'ils avaient terminé leur enquête le 3 avril.

Honda a dû faire face à plusieurs vulnérabilités au cours de la dernière année, dont plusieurs permettant aux pirates de déverrouiller des Civics et d'autres modèles. D'autres chercheurs ont également découvert des moyens permettant aux pirates de prendre le contrôle à distance des véhicules Honda.

Jonathan Greig est reporter de Breaking News chez Recorded Future News. Jonathan a travaillé dans le monde entier en tant que journaliste depuis 2014. Avant de retourner à New York, il a travaillé pour des organes de presse en Afrique du Sud, en Jordanie et au Cambodge. Il a précédemment couvert la cybersécurité chez ZDNet et TechRepublic.