au sommaire
En juillet 2015, Charlie Miller et Chris Valasek, deux chercheurs en sécurité informatique spécialisés dans les systèmes électroniques des véhicules, créaient la stupeur en prenant le contrôle d'une Jeep Cherokee à distance grâce à une simple connexion cellulaire. Ils avaient trouvé et exploité une vulnérabilité au niveau du service Uconnect, disponible sur des centaines de milliers de modèles du groupe Fiat Chrysler, qui permet aux conducteurs d'activer certaines fonctions depuis leur smartphone. Bilan, le constructeur avait été contraint à un rappel massif de 1,4 million de véhicules afin de procéder à une mise à jour logicielle.
Un coup de semonce qui est venu mettre en lumièrelumière une réalité encore méconnue du grand public : les voitures modernes sont aussi des ordinateurs qui peuvent être piratés. En France, un Observatoire central des systèmes de transport intelligents a été créé en juillet 2015. À sa tête, le colonel de gendarmerie Franck Marescal, dont la mission est de suivre ces questions de sécurité dans le domaine des transports. « Comme tout système informatique, le véhicule possède aussi de nombreuses surfaces d'attaques », écrivait-il récemment sur le site de l'Observatoire du Forum International de la Cybersécurité.
Une analyse partagée par de nombreux experts internationaux et qui vient de pousser le fameux FBI (Federal Bureau of Investigation) à tirer la sonnettesonnette d'alarme. Dans un document mis en ligne il y a quelques jours, il estime que « des failles de sécurité peuvent exister au niveau des fonctions de communication sans fil d'un véhicule, sur un téléphone cellulaire ou une tablette connectés au véhicule via USB, Bluetooth ou Wi-Fi ou également au niveau d'appareils tiers branchés sur la prise de diagnosticdiagnostic ».
Par ce biais, des cyberpirates pourraient s'infiltrer à distance dans les boîtiers électroniques que l'on appelle communément des ECU (Electronic Control Unit, en anglais). Il s'agit de calculateurs qui commandent les éléments vitaux d'un véhicule : freinage, accélérateur, direction, éclairage, essuie-glace, etc. Pour permettre la maintenance, les constructeurs ont ménagé une porteporte d'accès à ces ECU via ce que l'on appelle la prise de diagnostique ou prise OBD (On-Board Diagnostics).
Charlie Miller (à gauche) et Chris Valasek (à droite) posent devant la Jeep Cherokee qu’ils ont réussi à pirater à distance. © Wired
Des voitures de plus en plus connectées et donc vulnérables
Or, cette connectique est aujourd'hui utilisée par des fabricants tiers qui, pour quelques dizaines d'euros, proposent des boîtiers de télématique qui permettent de se connecter à sa voiture via son smartphone ou son PC portable en Wi-Fi, Bluetooth ou USB. Grâce à eux, l'automobiliste peut consulter sa consommation de carburant, connaître la puissance moteur, le couple, l'accélération, voire lire et effacer les codes d'erreur émis par les ECU.
Par ailleurs, certaines compagnies d'assurance proposent à leurs clients des remises sur leur contrat en échange de l'installation d'une sorte de « boîte noire » branchée sur la prise OBD qui va surveiller leur stylestyle de conduite. Pour le FBI, ces outils connectés à la prise de diagnostique peuvent créer une vulnérabilité en instaurant une connectivité là où il n'y en avait pas auparavant.
Les experts de la police fédérale nord-américaine s'inquiètent également des points d'entrée potentiels que représentent les systèmes de déverrouillage et de démarrage sans clé, les capteurs de pressioncapteurs de pression des pneumatiquespneumatiques ainsi que les systèmes multimédias embarqués qui sont eux-mêmes connectés à InternetInternet et accessibles à distance depuis un terminal mobile.
Les recommandations du FBI aux conducteurs
En conséquence, le FBI fait un certain nombre de recommandations aux conducteurs :
- vérifier auprès du constructeur l'existence de mises à jour de sécurité des logicielslogiciels embarqués ;
- ne pas modifier ces logiciels en intervenant via la prise OBD ;
- être vigilant sur la sécurité des outils de connexion proposés par des fabricants tiers ;
- faire attention aux personnes ayant un accès physiquephysique au véhicule.
La mise en garde concerne également les constructeurs automobilesautomobiles. Voilà déjà un certain temps que les experts en sécurité estiment que ces derniers doivent adopter la même approche que dans le monde informatique afin de protéger les véhicules contre le piratage en amont lors de la conception et en aval avec la diffusiondiffusion de mises à jour régulières.
Sans tomber dans un alarmisme excessif, il faut se rendre compte que cet enjeu va aller en grandissant alors que les systèmes embarquéssystèmes embarqués des voitures modernes sont désormais pensés comme des prolongements des écosystèmesécosystèmes mobiles où l'on retrouve notamment les environnements AndroidAndroid et iOSiOS. Sans parler des voitures autonomes dont le fonctionnement repose totalement sur des systèmes informatisés et connectés dont la sécurité devra absolument être à toute épreuve.