Est-il possible de pirater ma voiture ?

19 Juil 2013

Qu’il soit possible ou non de pirater votre voiture dépend presque entièrement du genre de voiture que vous conduisez. Moi, par exemple, je conduis une Honda Accord de 1998, et je suis presque sûr à 100% qu’infiltrer ses systèmes à distance serait impossible. Bien sûr, il existe sûrement beaucoup de moyens de compromettre l’ordinateur d’une Honda Accord One (c’est comme cela que s’appelle ma voiture), mais un pirate aura besoin d’un accès direct, ce qui signifie qu’elle est aussi vulnérable qu’une Ford Model T du début du 20ème siècle.

car_title_FR

Cependant, un grand nombre d’entre vous conduit sûrement une voiture plus récente que la mienne avec toutes sortes d’options plus cool les unes que les autres – comme le système de détection de collision ou le GPS intégré. La plupart, si ce n’est la totalité, de ces options sont contrôlées par un système d’exploitation de bord ou par des machines de contrôle industrielles, et nous en sommes simplement au commencement de l’informatisation des voitures.

Il y a de cela quelques années, un chercheur expert en sécurité chez Kaspesky Lab nommé Vicente Diaz a publié un papier sur les effets potentiels de l’incorporation d’ordinateurs et de technologies mobiles dans les voitures. À cette époque, les voitures sortaient des chaînes de montage avec tout une panoplie d’unités de contrôle électronique (UCE). Pour  ainsi dire, une unité de contrôle électronique est un ordinateur qui contrôle certaines parties, des processeurs ou des séries de composants au sein de votre voiture.

À l’époque, Diaz avait exprimé son inquiétude quant au déluge de technologies brevetées installées pour  satisfaire différents besoins sur un grand nombre de voitures sans normes réellement définies par les différents fabricants. Chaque compagnie automobile préfère disposer de son propre système d’exploitation  et chacun d’entre eux peut contenir un certain nombre de vulnérabilités connues et inconnues. La question est donc la suivante : en cas d’exploit,  comment les vulnérabilités d’UCE pourraient-elles affecter les systèmes que ces derniers dirigent ainsi que  les autres ordinateurs et censeurs avec lesquels ils interagissent.

L’autre question est, bien évidemment, de savoir comment ces vulnérabilités sont exploitées. Comme je le disais précédemment, il fut un temps où la plupart de ces exploits requéraient un accès physique. Maintenant les choses ont changé.  Les attaques à distance, ciblées et visant plusieurs appareils à la fois deviennent, tout comme les infections accidentelles, de plus en plus possibles étant donné que les fabricants de voitures essaient de trouver de nouveaux moyens d’installer Internet et d’améliorer l’interaction avec les appareils mobiles dans leurs véhicules.

Les risques d’une surveillance, d’un cyber-espionnage ou d’un suivi de votre situation géographique dans des voitures connectées sont bien entendu très élevés, mais pas plus élevés que ceux qui menacent  l’ordinateur que vous avez dans votre poche. Diaz affirme que les vols de voitures informatisées pourrait être un problème car les pirates pourraient compromettre l’UCE de la voiture et lui demander de déverrouiller la voiture et de démarrer son moteur.

Néanmoins, la réelle question à laquelle vous voulez que je réponde est sûrement : est ce que je peux pirater votre voiture et prendre totalement contrôle de toutes ses fonctions ? Et bien, il existe une étude très célèbre qui a été réalisée par l’Université du Wisconsin et celle de Californie à San Diego dans laquelle une poignée de chercheurs a essayé de déterminer cela. Leur but était de voir ce qu’ils pouvaient faire après avoir piraté une voiture, plus que d’expliquer comment il est possible de pirater de tels systèmes. Ils ont trouvé toute une série de composants automobiles qu’ils pouvaient  contrôler à distance.  Dans le cas d’un accident provoqué, les chercheurs ont également trouvé comment supprimer toutes les traces de ce qu’ils avaient fait. C’était il y a environ trois ans.

Il n’y avait pas de manière  de reprendre manuellement le contrôle de plusieurs des composants qu’ils étaient capables de contrôler à distance à travers les différents UCE auxquels ils avaient pu accéder. Je vais donc dans un premier temps me concentrer uniquement sur les composants qui ne pouvaient pas être de nouveau contrôlés manuellement :

Ils pouvaient allumer continuellement les essuie-glaces, ouvrir le coffre, enlever le frein à main, actionnez le klaxon en continu, éteindre les lumières auxiliaires, désactiver l’ouverture des fenêtres et  des portes, déclencher le jet de lavage du par brise en continu et contrôler la fréquence du klaxon, la puissance des lumières situées à l’intérieur du véhicule ainsi que celle des feux tels que les feux de freinage. Dans le moteur,  les chercheurs pouvaient, entre autres, temporairement augmenter le nombre de tours par minute du moteur et faire fonctionner le moteur au ralenti. Mais plus alarmant, ils peuvent libérer les freins  ou activer chaque frein individuellement. Moins alarmant mais pour sûr dérangeant, ils ont trouvé comment augmenter le volume de la radio, changer la station et les informations de l’unité centrale  et manipuler le son de l’alarme. Enfin, ils étaient capables de modifier les chiffres du compteur de vitesse ainsi qu’éteindre et allumer le moteur de la voiture.

Maintenant pour ce qui est des composants dont il était possible de reprendre le contrôle manuellement, bien que je ne suis pas certain que c’était si simple à faire : ils pouvaient continuellement activer le verrouillage et déverrouillage des portes, désactiver les feux, arrêter les essuie-glaces et désactiver la direction assistée, les cylindres et les freins.  La raison pour laquelle il y a des chevauchements entre les fonctionnalités qui pouvaient ou non être manuellement manipulées est que certains de ces composants automobiles sont régulés par différents ordinateurs au sein de la voiture. En d’autres mots (sans être trop technique), le verrouillage est aussi bien contrôlé par le centre d’information du conducteur que par le module de contrôle (l’ordinateur qui régule les fonctionnalités du véhicules telles que les phares et autres).

Comme vous pouvez le voir, il y a un tas de choses effrayantes que les pirates peuvent éventuellement faire lorsqu’ils piratent votre voiture. Cependant, il faut garder à l’esprit que ces chercheurs ont acheté deux voitures de marques récentes et ont fait ces expériences en laboratoire. Ils avaient un accès direct  aux véhicules et le but de leurs expériences n’était pas de compromettre des voitures mais de voir ce qu’ils pouvaient faire après l’avoir fait.

Il n’y a pas grand-chose que vous puissiez faire pour vous protéger à part vous tenir au courant des mises à jour que le fabricant de voiture pourrait créer pour l’UCE de votre voiture, soyez conscient des rappels du fabricant concernant ces systèmes, et faites régulièrement réviser votre voiture. Afin de vous rassurer quelque peu, sachez que développer des exploits ciblant les voitures est probablement très coûteux. Les vulnérabilités et les exploits ne tombent pas du ciel. Les pirates ne lancent pas des tentatives en l’air pour ensuite voir si elles fonctionnent. Trouver des vulnérabilités et des manières de développer des exploits implique des tests dans différents environnements, des essais ainsi que des expérimentations poussées.