Comme tous les objets connectés, les voitures connectées sont susceptibles d’être piratées. Heureusement les failles de sécurité sont encore peu nombreuses et rapidement corrigées par les constructeurs. Mais avec d’ici moins de deux ans, plus de 78 millions de véhicules connectés sur les routes*, la sécurité numérique des voitures est déjà un enjeu pour les constructeurs s’ils ne veulent servir de mauvais exemples sur internet. Tesla et Chrysler en ont déjà fait les frais.

piratage-tesla

Comme le prouve le mondial de l’automobile qui se déroule en ce moment à la porte de Versailles, les voitures d’aujourd’hui sont connectées. Mais la connectivité n’a pas que des avantages. Les voitures embarquent de vrais ordinateurs de bord et qui dit ordinateur dit piratages et besoin de sécurité.

C’est ce qu’on prouvé les  "hackers" de la société Keen Security Lab qui ont publié il y a quelques jours sur Youtube une vidéo dans laquelle ils montrent qu’ils ont réussi à pirater une voiture Tesla Model S.

Ils expliquent avoir cherché la faille pendant plusieurs mois avant de réussir à maîtriser le véhicule à distance. Et en effet, les pirates professionnels ont créé une véritable télécommande de Tesla et peuvent avancer les sièges, ouvrir le toit, les portes, allumer les phares et prendre le contrôle des écrans. Cette prise de contrôle marche à l’arrêt mais aussi en mouvement. En plein changement de file, ils rabattent par exemple les rétroviseurs du véhicule et pire encore ils arrêtent la voiture à distance alors qu’elle roule… De quoi faire froid dans le dos, mais heureusement Tesla a déjà réparé la faille qui se situait dans le navigateur web. Tesla estime que « le risque pour nos clients est très faible, mais cela ne nous a pas empêché d'y répondre rapidement ».  La mise à jour des systèmes à distance chez Tesla permet en effet de résoudre le moindre problème en un temps record.

piratage-wired

Le magazine Wired a lui aussi publié une vidéo impressionnante qui montre le journaliste Andy Greenberg, au volant d’une Jeep Cherokee de Chrysler sur une autoroute et deux faux hackeurs qui piratent à distance les systèmes informatiques du véhicule. Depuis leur salon, les gentils pirates prennent le contrôle des commandes de la voiture en commençant gentiment par la radio, la clim et les essuies glaces. Les choses se gâtent quand ils réduisent la vitesse et freinent en plein milieu d’une autoroute de Los Angeles. La démonstration se poursuit  sur un parking où la voiture termine dans le fossé après la prise de contrôle des freins et de l’accélérateur !

Pour les faux pirates, Charlie Miller, ingénieur en sécurité chez Twitter et Chris Valasek, chercheur spécialisé sur les véhicules pour une entreprise de sécurité informatique, « un ordinateur connecté à Internet présent dans des centaines de voitures Fiat Chrysler et camionnettes, qui contrôle la navigation et les outils multimédias du véhicule, permet de téléphoner et offre même un hot spot Wi-Fi ». Il leur a suffit de connaitre l’adresse IP du véhicule pour entrer dans le système et accéder à toutes les commandes. Chrysler a depuis proposé un patch de correction à installer depuis une clé USB ou dans une concession. « Cela signifie que beaucoup – si ce n’est la majorité – des Jeep vulnérables risquent de le rester », note le journaliste Andy Greenberg.  On constate ici l’énorme avantage de Tesla qui peut opérer ses mises à jour à distance.

L’expérience montre une fois de plus qu’un véhicule connecté à internet devient vulnérable et nécessite une sécurité renforcée au même titre qu’un ordinateur et bien plus encore vu les enjeux pour les passagers. Les conducteurs vont peut être devoir choisir entre être connecté ou être protégé.

Autre enjeu de sécurité, le piratage des clés de voiture

Sur les 110 000 voitures volées en 2015, 3 sur 4 l’ont été sans effraction, on appelle cela le « mouse jacking ». Les conducteurs sont alors doublement victimes car l’assurance ne peut pas jouer.  Avec un simple boitier de piratage, disponible sur internet pour une centaine d’euros, les voitures sont aujourd’hui faciles à pirater.

Voir la vidéo

expert-florent-poulainL’étude « Lock it and still lose it » publiée par des chercheurs de l'Université de Birmingham et la société Kasper & Oswald, spécialisée en sécurité informatique a d’ailleurs fait du bruit l’été dernier lors du 25eUSENIX Sécurity Symposium. Les chercheurs ont démontré l'inefficacité des télécommandes à code tournant (rolling code) pour les clés de voitures. Les chercheurs se sont basés sur l'examen de plusieurs dizaines de véhicules produits ces quinze dernières années et ont constaté que le nombre de combinaisons employé par les grands constructeurs automobiles ne suffit pas à protéger efficacement contre les tentatives de piratage. Les codes sont donc facilement piratables pour un voleur qui saurait intercepter et reproduire le code envoyé par les clés par ondes radio courtes aux véhicules. Selon les résultats de l’étude, plus de 100 millions de voitures seraient visées. Ce piratage est heureusement limité par la faible portée des systèmes à base de puces RFID qui oblige le pirate à se trouver près de la clé.

*d’après une étude du cabinet de conseil AlixPartners

Sources : Huffington PostChallengesFutura sciencesLe Monde