Des chercheurs en sécurité informatique spécialisés dans l'automobile ont démontré qu'il était possible, dès aujourd'hui et sans effort, de prendre le contrôle de centaines de milliers de véhicules connectés à internet. Une situation aux conséquences potentielles gravissimes.

Avoir un bug ou une faille de sécurité en informatique est quelque chose de courant. C'est souvent gênant, énervant, frustrant, et parfois même dangereux pour la vie privée. Mais c'est rarement dangereux pour la vie tout court. Le développement des voitures connectées à internet et dont des éléments mécaniques sont contrôlés par des des composants électronique change toutefois la donne, comme l'avaient montré des soupçons de meurtre par piratage de voiture en 2013.

Imaginez en effet que vous rouliez tranquillement à 130 km/h sur l'autoroute et que d'un seul coup, les freins lâchent, parce que quelque part dans le monde, quelqu'un cliqué sur un bouton pour désactiver la pédale de frein. Ou que votre moteur s'arrête en pleine route, sans bas côté pour se mettre à l'abri d'un camion qui comprendrait trop tard que vous ne roulez plus. Ce n'est déjà plus de la science-fiction ou un problème de sécurité théorique.

C'est d'ores et déjà, au moment même où vous lisez ces lignes, le risque qu'encourent concrètement les propriétaires de véhicules Chrysler qui utilisent la plateforme UConnect, également utilisée par Fiat, Dodge, ou Jeep. Et c'est certainement un risque qui existe aussi avec de nombreux autres véhicules utilisant d'autres services qui permettent de connecter la voiture à internet pour recevoir des informations, des mises à jour, donner accès à des services en ligne, à un GPS, etc. 

Les chercheurs en sécurité informatique Charlie Miller et Chris Valasek ont ainsi démontré auprès de Wired qu'ils avaient réussi à gagner l'accès à distance, par internet, à tous les véhicules Chrysler vendus depuis fin 2013 avec le système UConnect. Tout ce qu'il leur faut connaître est l'adresse IP du véhicule, qu'ils arrivent à obtenir au hasard de scans réalisés sur le réseau. Ils estiment que 471 000 véhicules seraient ainsi vulnérables. Une fois cet accès obtenu, les hackers envoient un firmware modifié au chipset du système de divertissement à bord, qui peut alors envoyer des commandes à travers le bus CAN de la voiture, reconnues par les divers composants de la voiture.

A distance, les hackers peuvent ainsi réaliser des actions anodines comme allumer la radio, augmenter le son, mettre en route la ventilation, klaxonner ou activer les essuis-glaces, mais aussi, ce qui est gravissime, couper le moteur, accélérer, freiner brutalement, ou même tourner le volant (pour l'instant uniquement lorsque la vitesse enclenchée est la marche arrière, qui permet d'activer le système de parking automatique) ou désactiver entièrement la pédale de frein. Ils peuvent aussi obtenir la géolocalisation précise d'un véhicule et suivre tout son parcours.

Les deux chercheurs ont prévu de révéler une partie du code source lors de la prochaine conférence Black Hat de Las Vegas, au mois d'août. Ils ne publieront pas les commandes vitales obtenues après plusieurs mois de reverse-engineering, mais donneront tout de même des clés et un logiciel permettant de s'amuser avec le tableau de bord. Le groupe Fiat Chrysler, pour sa part, a publié un patch à appliquer par clé USB.

Longtemps négligée, la sécurité informatique au coeur des véhicules est désormais prise au sérieux par les constructeurs, et même par des éditeurs anti-virus qui ouvrent des unités dédiées. Tesla, dont les voitures sont extrêmement dépendantes de l'électronique et qui sont connectées en permanence à internet, a également recruté une armée de hackers pour mettre à l'épreuve la sécurité de ses voitures.

Un seul bug critique exploitable à distance, et ce sont potentiellement des dizaines ou des centaines de milliers d'accidents mortels qu'un pirate pourrait déclencher en un clic depuis son fauteuil.

Partager sur les réseaux sociaux

Articles liés