Le modèle le plus populaire de balise V16 présente de graves failles de sécurité, selon l'enquête de cet expert

Les balises V16, qui seront obligatoires en Espagne au début de 2026 pour signaler les pannes routières, ont pour mission de communiquer automatiquement la localisation d'un véhicule immobilisé à la plateforme DGT 3.0, afin d'alerter les autres conducteurs et d'améliorer la sécurité routière.

Cependant, Luis Miranda Acebedo (ingénieur en télécommunications et co-fondateur de Vigo SC Robotics), a mis en lumière que l'un des modèles les plus vendus de ce type d'appareil – avec plus de 250 000 unités en circulation – souffre de graves vulnérabilités qui permettraient de manipuler ses communications, de falsifier les avis d'urgence ou même de contrôler l'appareil à distance.

Communications non cryptées et faciles à intercepter

La première faiblesse détectée touche directement le cœur du système : la transmission des données. Lorsqu'une balise est activée, elle envoie sa position GPS et d'autres paramètres techniques au serveur du fabricant. Mais selon l'analyse technique, ces données sont envoyées en clair, sans aucun type de cryptage ni d'authentification, ce qui ouvre la porte à l'interception ou à la falsification du message.

Les paquets de données comprennent des informations sensibles telles que les coordonnées exactes, les heures d'activation, l'IMEI de l'appareil et les paramètres réseau.

Tout cela circule sans protection à travers le réseau NB-IoT/LTE-M, dont la sécurité supposée repose sur l'utilisation d'un APN privé… mais cette barrière n'est pas insurmontable : un attaquant pourrait extraire l'eSIM, utiliser la balise elle-même comme modem ou même déployer une fausse station de base mobile pour que les appareils s'y connectent.

Fabriquer une de ces stations – des simulateurs d'antennes LTE – est étonnamment abordable : pour environ 1 000 euros d'investissement en matériel et logiciels gratuits, il serait possible d'intercepter, de bloquer ou de modifier en temps réel les communications de toutes les balises à proximité.

La découverte la plus sérieuse : une porte WiFi cachée qui permet de réécrire la balise

Cependant, la découverte la plus inquiétante ne se situe pas sur le réseau mobile, mais à l'intérieur de l'appareil lui-même : un client WiFi secret, non documenté par le fabricant, qui peut être activé en maintenant enfoncé le bouton d'alimentation pendant huit secondes.

Une fois le mode furtif activé, la balise :

  1. Recherche automatiquement un réseau WiFi avec un nom et un mot de passe fixes, identiques sur toutes les unités.
  2. Il se connecte sans demander la permission à l’utilisateur.
  3. Téléchargez une modification du micrologiciel depuis Internet via HTTP non crypté.
  4. Installez ce micrologiciel sans vérifier la signature numérique, l'origine ou l'intégrité.

Tout acteur capable de monter un point d'accès avec le SSID prédéfini peut forcer la balise à télécharger un firmware modifié, accordant ainsi le contrôle total de l'appareil. Selon les tests, l'ensemble du processus prend moins d'une minute.

Des ateliers aux stations-service : de vrais scénarios d’exploitation

Les vulnérabilités ne sont pas seulement théoriques. Le chercheur décrit des scénarios dans lesquels ces failles pourraient être exploitées relativement facilement :

  • Ateliers ou entreprises malveillants : Lors d'une vérification, quelqu'un pourrait compromettre la balise sans la démonter, en appuyant simplement sur le bouton suffisamment longtemps pour activer le mode de mise à jour cachée.
  • Cyberattaques massives dans les zones de transit : Un point d’accès WiFi honeypot dans un centre commercial ou une station-service permettrait de compromettre toute balise entrant accidentellement en mode OTA.
  • Fausses stations de base LTE : un attaquant équipé d'un « faux eNodeB » pourrait intercepter toutes les balises dans un rayon de plusieurs centaines de mètres, altérant ou bloquant les alertes envoyées à la DGT.
  • Utilisateurs manipulant leur propre appareil : l'absence de contrôles permettrait d'installer des firmwares alternatifs qui désactivent l'envoi de données, conservant ainsi l'apparence d'une balise approuvée.

Un problème affectant les infrastructures de circulation critiques

L’impact de ces vulnérabilités va bien au-delà du « simple » vol de données. Si l'emplacement envoyé à la DGT 3.0 est manipulé, les opérations suivantes pourraient être effectuées :

  • générer de fausses urgences,
  • systèmes d'avertissement d'effondrement,
  • détourner les ressources du trafic,
  • ou même empêcher de véritables alertes d’atteindre leur destination.

Pour un pays où ces balises sont déjà obligatoires, une panne systématique pourrait affecter simultanément des centaines de milliers de conducteurs.

Officiellement, ce n'est pas une faille de sécurité

Selon les documents, le chercheur a initialement notifié les vulnérabilités à INCIBE, qui a refusé de leur attribuer des identifiants CVE (le moyen protocolaire d'identification des vulnérabilités technologiques) estimant qu'elles nécessitaient un « accès physique ». Mais l'enquête indique que cet accès consiste uniquement à appuyer sur un bouton pendant huit secondes, un acte trivial qui n'implique pas l'ouverture de l'appareil ni la manipulation de son matériel.

De plus, une fois qu’une unité est compromise, elle peut être utilisée pour attaquer à distance d’autres balises, transformant ainsi des vulnérabilités initialement mineures en failles à fort impact.

Comment un dispositif obligatoire en est-il arrivé à présenter ces faiblesses ?

La balise analysée est officiellement agréée et est vendue à grande échelle. Il présente cependant une liste de failles qui, selon les experts, ne répondraient pas aux standards habituels de sécurité de l’IoT :

  • pas de cryptage TLS,
  • pas de signature numérique du firmware,
  • utilisation de HTTP dans les mises à jour,
  • des références universelles,
  • absence de mécanismes d'intégrité des messages,
  • port de débogage accessible,
  • et un protocole de communication propriétaire non protégé.

Tout cela ne nous amène pas à nous demander si les processus d’approbation examinent de manière adéquate la cybersécurité des appareils considérés comme critiques pour la sécurité routière.

À Xataka | Que rechercher dans une balise V16 : exigences et comment vérifier si celle que vous possédez ou souhaitez acheter fonctionne pour vous

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine