Des pirates au volant
Avec l’arrivée des connexions Internet sans fil, des ordinateurs de bord intelligents et des premières voitures sans chauffeur, l’automobile de l’avenir est confrontée aux mêmes risques que les ordinateurs et les smartphones à l’époque : tout appareil numérique connecté est susceptible d’être piraté par l’industrie de l’ombre de criminels informatiques. Votre voiture connectée peut-elle être piratée ?
Voici 6 ans déjà qu’une réponse a été apportée à la question de savoir si une voiture peut être piratée. En effet, lors de l’édition 2011 de Defcon, la conférence annuelle des pirates et experts en sécurité Internet qui se tient chaque année à Las Vegas, des chercheurs de l’université de Washington et de Californie ont pour la première fois fait la preuve en direct qu’il était possible de pirater la sécurité d’une Subaru Outback, simplement via la connexion Bluetooth. Du coup, tous les participants à la conférence se sont posé des questions. Car si un tel tour de force a suscité les applaudissements lors de cette conférence de pirates informatiques, il risque fort sur le terrain de se traduire par des accidents mortels. ” Si vous donnez un tel pouvoir à une personne vraiment malveillante, vous risquez de voir toutes les voitures s’arrêter subitement sur l’autoroute “, explique David Perry, un expert américain en sécurité qui a assisté à la présentation. Voilà ce qui attend la voiture connectée. Ou, pire encore, les bolides sans chauffeur qui commencent à faire leur apparition sur les routes : il suffit qu’une personne mal intentionnée pousse sur un bouton pour que votre déplacement professionnel ou votre petite escapade en France risque d’être le dernier.
” Pour l’heure, il s’agit certes encore toujours du scénario catastrophe absolu, nuance Joan Van Loon, Enterprise Leader Automotive chez IBM Belgique. Reste qu’il ne faudrait pas oublier la règle absolue en matière de sécurité Internet : plus un appareil est connecté, plus le risque de piratage est élevé. Cette augmentation de la connectivité est toutefois irrémédiable : l’automobile moderne devient toujours plus un datacenter sur roues. Mais cela signifie également que les flux de données internes et les échanges de données avec le monde extérieur doivent répondre aux mêmes exigences en termes d’authentification et de sécurité que les transmissions de données au sein des ordinateurs et smartphone et entre eux. ”
Menace hypothétique
Reste que provisoirement, il ne faudrait pas trop s’alarmer. L’ère de la voiture connectée n’a débuté que voici 7 ans environ, tandis que les systèmes intelligents ne sont pour l’instant installés que dans les voitures vendues à des prix supérieurs à quelque 70 000?.. Qui plus est, il faudra attendre de 5 à 10 ans encore avant que la voiture autonome ne se généralise. Et pour être plus précis face au risque spécifique : jusqu’à présent, la démonstration du piratage d’une voiture est purement théorique. Tous les piratages réalisés jusqu’à ce jour, dont la fameuse prise en main en direct par une série de pirates de la Jeep Grand Cherokee d’un journaliste de la revue technologique américaine Wired, n’étaient qu’une sorte de piratage ‘d’essai’ de la part de pirates de type white hat qui travaillaient pour la ‘bonne cause’. Des pirates qui ont d’ailleurs en général planché des mois, voire une année, sur un tel piratage, allant jusqu’à démonter complètement le tableau de bord du véhicule pour l’étudier. ” Pour l’instant, il n’est pas possible de pirater une voiture sans en étudier le système jusque dans les moindres détails, ajoute Sergey Lozhkin, senior security researcher auprès du spécialiste russe de la sécurité informatique Kaspersky. Pirater un véhicule en quelques minutes, en quelques heures ou en quelques jours est tout simplement impossible actuellement. ”
Grandes différences
L’ordinateur sur roues que devient toujours plus la voiture présente en effet une différence majeure par apport aux PC et, dans une moindre mesure, aux smartphones : il n’est guère possible avec une seule attaque de viser simultanément un grand nombre de modèles. En effet, la première phase de l’attaque de systèmes informatiques est un virus permettant déjà aux pirates informatiques de s’infiltrer dans les ordinateurs. Des virus qui peuvent se développer rapidement parce que des centaines de millions de personnes utilisent le même système, qu’il s’agisse de versions différentes de Windows sur le PC ou d’un éventail de versions Android sur smartphone. En revanche, les constructeurs automobiles installent tous des logiciels différents dans leurs voitures, logiciels qui varient même parfois par marque ou par modèle. De plus, relève Van Loon, ces fabricants automobiles sont déjà très sensibilisés à la sécurité de leurs systèmes. ” Ils ont clairement retenu les leçons de l’industrie informatique qui a appris voici plusieurs décennies déjà, comme première victime, que le piratage représentait un danger réel. Et ont compris l’importance des mises à jour de logiciels, lesquels permettent de combler les failles des logiciels qui représentent la porte d’entrée principale pour les pirates.
L’on est à l’intérieur d’une voiture. Si quelqu’un a la possibilité de prendre le contrôle de votre véhicule alors que vous êtes au volant, vous êtes en situation particulièrement dangereuse.
Cela ne signifie pas pour autant que les pirates automobiles vont désormais se contenter de viser plus bas. En effet, l’augmentation des companion apps par exemple, qui impliquent souvent la possibilité de déverrouiller une voiture au départ d’un smartphone, pourraient déboucher dans un proche avenir sur une hausse des vols de voiture. ” La vulnérabilité se situe précisément dans l’appli qui ouvre la voiture, explique Lozhkin. En effet, l’authentification a déjà eu lieu et donc l’appli est connectée à la voiture. Si le pirate peut pénétrer dans l’appli, il entre également dans la voiture. ”
N’oublions pas par ailleurs qu’avec son système de bord toujours plus complexe, à l’instar du PC ou du smartphone, la voiture stocke des données sur son propriétaire. ” Le but ultime du piratage ne doit pas forcément être la prise de contrôle du véhicule, ajoute Van Loon. Il peut simplement s’agir d’accéder à vos données personnelles, pour ensuite les exploiter d’une manière ou d’une autre. ”
Trop connecté
Reste qu’il ne faudrait pas oublier la croissance rapide du nombre de voitures connectées. Lorsque le premier exemple de piratage automobile a été présenté à Defcon 2011, la voiture sans chauffeur n’existait que dans les labos R&D de Google, Tesla et quelques autres acteurs. Or aujourd’hui, les premières voitures sont commercialisées. ” Ce scénario du pire, où il existe beaucoup de voitures sans chauffeur susceptibles donc d’être piratées, se doit désormais d’être pris en compte, affirme Kozhkin. Plus les voitures seront connectées en ligne et plus les voitures sans chauffeur circuleront sur nos routes, plus certains essaieront du moins de les pirater. A l’avenir, les efforts aujourd’hui nécessaires pour prendre le contrôle d’une voiture connectée seront moindres. C’est en effet l’essence même du piratage. En effet, les ‘exploits’ qui sont aujourd’hui découverts et les piratages programmés sur ceux-ci augmenteront et seront partagés sur le Dark Web, ce qui les rendra accessibles à un nombre croissant de pirates qui essayeront au moins de prendre le contrôle de véhicules. L’espoir est désormais de voir les constructeurs automobiles désormais s’efforcer de bien sécuriser leurs véhicules. Mais à mon avis, ils devraient encore redoubler d’efforts. Simplement parce que les risques sont énormes dans la mesure où l’on est à l’intérieur d’une voiture. Si quelqu’un a la possibilité, même en cherchant longtemps, de prendre le contrôle de votre véhicule alors que vous êtes au volant, vous êtes en situation particulièrement dangereuse. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici