Des chercheurs américains ont révélé que des boîtiers de diagnostic à brancher sur le port ODB2 de véhicules pouvaient permettre d'en prendre le contrôle à distance, par l'envoi de SMS. Ces boîtiers sont notamment utilisés par Uber pour surveiller des flottes de véhicules, ou par des assureurs. Des véhicules en France sont potentiellement concernés.

Il ne manque plus qu'un accident sérieux pour que l'affaire passe de la découverte en laboratoire par des chercheurs en sécurité informatique, à une véritable prise de conscience du danger que crée le manque de sécurité des voitures qui peuvent se connecter à un réseau de communication sans fil, directement ou indirectement.

Quelques semaines après la découverte d'une faille de sécurité majeure chez Chrysler, qui a obligé le constructeur à rappeler 1,4 million de voitures potentiellement pilotables à distance par n'importe qui, d'autres hackers ont révélé que le fait de brancher certains types de boîtiers sur le port ODB2 de certaines voitures (en l'espèce des Corvette) permettait d'accéder aux fonctions vitales de cette dernière, par le simple envoi de SMS. Il devient alors possible notamment de freiner brutalement ou de tourner le volant.

Le magazine Wired, en pointe sur les questions de sécurité automobile, explique en effet que des chercheurs américains ont découvert une voie d'accès aux fonctions du véhicule, à travers des dongles OBD2 fournis par la société française Mobile Devices. Celle-ci commercialise des boîtiers de diagnostic qui permettent à différents intégrateurs de recevoir ou d'envoyer des données à distance, grâce aux réseaux mobiles (par exemple le Munic.box2, vendu moins de 150 euros pièce). Il s'agit essentiellement de surveiller des flottes de voitures ou de camions, de réaliser un diagnostic à distance de l'état de santé du véhicule, ou encore de surveiller la vitesse ou le comportement général d'un conducteur.

DES VÉHICULES POTENTIELLEMENT CONCERNÉS EN FRANCE

De plus en plus d'assurances fournissent en effet ce type de boîtiers pour vérifier que l'assuré respecte le contrat de type "Pay As You Drive", en terme de kilomètres parcourus ou de prises de risques — c'est par exemple le cas en France d'Amaguiz, qui utilise cependant une autre solution technique que celle de Mobile Devices. Des milliers de véhicules seraient ainsi concernés, notamment aux Etats-Unis et en Europe, dont plusieurs milliers équipés de boîtiers commercialisés par TomTom.

Contactée par Numerama, Mobile Devices nous confirme que des véhicules en France sont "sûrement" concernés par la faille de sécurité. Mais son PDG Aaron Solomon estime qu'il s'agit d'un volume trop restreint de véhicules pour attirer des hackers mal intentionnés, les services connectés exploitant le boîtier de diagnostic étant encore très rares chez les constructeurs ou les assurances français.

La plupart des clients de Mobile Devices sur ce type de solutions sont en effet encore en phase de développement, et les vulnérabilités viendraient précisément d'un manque de vigilance dans la configuration des boîtiers lors de la phase de mise en production. M. Solomon estime à cet égard que les révélations des chercheurs américains sont une "très bonne nouvelle", qui devrait faire prendre conscience à ses clients de l'importance de suivre les instructions de sécurité.

Mobile Devices a ainsi publié des lignes de conduite que ses clients intégrateurs doivent respecter pour bloquer les portes d'accès potentielles aux pirates, et leur propose de concevoir elle-même les patchs de sécurité, en guise de service complémentaire.

Partager sur les réseaux sociaux

Plus de vidéos