Des chercheurs réussissent à mettre en place une attaque par usurpation GPS sur des systèmes de navigation routière

Des chercheurs réussissent à mettre en place une attaque par usurpation GPS sur des systèmes de navigation routière

Des chercheurs annoncent qu’ils ont réussi à effectuer une attaque permettant d’usurper un système GPS auprès de systèmes de navigation routière, pouvant amener les victimes à conduire vers des endroits arbitraires.

La recherche mérite d’être mentionnée, car les précédentes attaques par « spoofing GPS » n’avaient pas réussi à tromper les humains qui recevait des instructions de conduite n’ayant aucun sens ou n’étaient pas cohérentes avec l’infrastructure routière.

Une équipe de recherche formée d’universitaires de Virginia Tech et de l’Université des sciences et technologies électroniques de Chine, ainsi que d’experts de Microsoft Research, sont parvenus à une méthode améliorée pour réaliser des attaques par « spoofing GPS » qui prennent en compte le tracé de la route.
Pour réaliser l’attaque, les chercheurs ont mis au point un algorithme qui fonctionne en temps quasi réel, ainsi qu’un GPS portable coûtant environ 223 $, qui peut être facilement attaché à une voiture ou placé sur un véhicule qui suit la voiture de la cible à des distances allant jusqu’à 50 mètres.

Les chercheurs affirment que leur algorithme permet à un agresseur de sélectionner une zone où il pourrait attirer des victimes. L’algorithme crée les entrées GPS sur le dispositif cible de telle sorte que l’instruction de navigation déclenchée et les routes affichées sur la carte restent cohérentes avec le réseau routier physique. Ainsi, la victime qui suit les instructions modifiées par le dispositif serait conduite à un mauvais itinéraire (ou à une mauvaise destination).

En moyenne, l’algorithme a identifié 1547 itinéraires d’attaque potentiels pour chaque voyage de cible que l’attaquant peut choisir. Si l’attaquant vise à mettre en danger la victime, l’algorithme peut créer avec succès un itinéraire d’attaque spécial qui contient des erreurs de sens pour 99,8% des voyages.

L’équipe de recherche affirme que leurs attaques sont possibles contre n’importe quel système de navigation routière utilisant le système GPS, comme les voitures classiques, les smartphones, les coursiers ou encore les plates-formes de partage de taxi. L’attaque fonctionne également sur les voitures autonomes, pour lesquelles le risque est encore plus élevé, car les utilisateurs font souvent plus confiance à ce type de véhicule qu’un véhicule classique possédant un système de navigation embarqué.

Les attaques par « spoofing GPS » ont été étudiées pour la première fois au début des années 2010, et elles ont été jugées dangereuses pour les systèmes de navigation aérienne et maritime. En raison de leur incapacité à tromper les conducteurs, les attaques d’usurpation de GPS ont été largement minimisées dans la conception de systèmes de navigation GPS pour les voitures.
Dans leur article, les universitaires proposent des protections de base qui pourraient être intégrées à ces systèmes afin de limiter l’efficacité de telles attaques à l’avenir, d’autant plus que le monde de l’automobile se dirige vers un avenir axé sur les véhicules possédant des fonctionnalités de conduite autonome.

 


Référence

https://www.bleepingcomputer.com/news/security/researchers-mount-successful-gps-spoofing-attack-against-road-navigation-systems/


Jean-Christophe Pellat

Analyste CERT-XMCO