Le Forum International de la Cybersécurité (FIC) a ouvert ses portes ce matin. Futura y a rencontré le hacker Gaël Musquet. Il nous a montré comment, avec très peu de moyens, il est possible de faire stopper n’importe quel véhicule à distance ou d'ajouter la conduite autonome à une voiture dotée d’options d’assistances. Reportage.
au sommaire
À Lille, se tient actuellement le Forum International de la Cybersécurité. Cette grande messe de la cybersécurité rassemble les grands noms et les petits acteurs du secteur pour le grand public, les pros, les services cyber de l'armée ou du ministère de l'Intérieur. C'est également un repaire à hackers. Futura a pu rencontrer l'un d'eux, Gael Musquet, un hacker « citoyen » membre du collectif YesWeHack. Cette plateforme met en relation des entreprises ou des institutions et des hackers, afin que ces derniers cherchent et identifient les failles de sécurité de leurs produits.
Sur son stand, Gaël Musquet démontre, parfois devant les yeuxyeux ébahis des membres de l'ANSSI ou de la gendarmerie, que n'importe quelle voiture de série peut être piratée. « Je vais vous montrer comment arrêter n'importe quel véhicule à distance avec un simple émetteur-récepteur que l'on trouve sur les valves de pneus de la plupart des voitures depuis 2012 », annonce-t-il après avoir expliqué comment voler une voiture en piratant la clé de contact de son propriétaire à son insu.
Le principe est simple, avec une antenne, d'une portée suffisamment importante, et d'un ordinateur doté d'un logiciel libre, il suffit de collecter les données que chaque valve transmet par ondes radioradio à l'ordinateur de bord. La démonstration est impressionnante puisque l'ensemble des numéros de série des valves de pneus des véhicules qui passent à proximité s'affiche en temps réel. À titre d'exemple, le hacker en donne une illustration convaincante : « Admettons que j'ai identifié le numéro de série des valves de la voiture du Ministre qui vient faire son tour au FIC. Dès qu'il en sort et reprend la route, avec mon antenne, je peux envoyer à distance une fausse informationfausse information à l'ordinateur de bord du véhicule. Le tableau de bord va, par exemple, afficher une alerte de basse pressionpression ou de surchauffe des pneus. Le chauffeur ne prendra pas de risque et stoppera la voiture. Je vous laisse imaginer les possibilités... ».
Des logiciels libres et un peu de matériel
Mieux encore, ce féru des ondes montre comment il a transformé une Toyota HRV hybridehybride équipée de nombreuses assistances à la conduite, en voiture autonome simplement en connectant son smartphone à l'ordinateur de bord. Ce procédé pourrait fonctionner avec n'importe quelle auto dotée du même niveau d'assistance. Il suffit de quelques centaines d'euros d'équipements, dont une prise compatible avec celle du véhicule, de logiciels libres et d'un PC animé de LinuxLinux. Une fois connecté à la prise diagnosticdiagnostic du véhicule, Linux va considérer l'auto comme un simple périphérique. Il s'agit ensuite de décoder les flux de données et d'utiliser des bibliothèques, elles aussi en open source, pour faire le reste.
Ensuite, c'est avec le logiciel libre OpenPilot que le mobile vient exploiter tous les capteurscapteurs du véhicule pour donner des instructions grâce aux données de géolocalisation et un autre logiciel libre, Open Street Map. Ainsi, c'est l'assistance au stationnement qui permet d'ajuster la position du volant. Pour le frein, l'accélérateur, les assistances sont aussi détournées de leurs fonctions initiales. Selon le hacker, l'auto pourrait s'arrêter toute seule au feufeu grâce aux données d'Open Street Map.
Aider à renforcer la sécurité des automobiles
C'est de cette façon qu'en 2019, le hacker a parcouru 10.000 km sans toucher au volant de la Toyota HRV présentée sur le stand. « C'est tout à fait illégal », rappelle Gaël Musquet, mais cela vient prouver, hormis chez TeslaTesla qui fait tester les vulnérabilités de ses modèles par des hackers, que les problématiques de cybersécurité ne sont pas prises en compte par la majorité des constructeurs et équipementiers automobilesautomobiles.
« Imaginez le résultat si quelqu'un de malveillant va un peu plus loin. Ce n'est pas de la science-fiction ; en modifiant un peu tout ça, je peux faire piloter la voiture via une manette de jeux par mon fils de 12 ans ». Par ce type d'action, le hacker souhaite que les constructeurs et notamment, les Français, s'alignent sur l'exemple de Tesla et se mettent à collaborer avec des hackers pour améliorer la sécurité des véhicules. Pour le moment, ils semblent rester sourds à ses sollicitations.