Panique au volant : votre Jeep peut être piratée pendant que vous conduisez.

23 Juil 2015

Oups, ils l’ont encore fait : après deux violations réussies des systèmes de sécurité de Toyota Prius et de Ford Escape, Charlie Miler et Chris Valasek, chercheurs dans ce domaine, ont récemment piraté une Jeep Cherokee.

Ce piratage est encore plus renversant car le duo a trouvé une manière de prendre les commandes d’une voiture à distance. Leur victime volontaire était en train de conduire à 110 km/h en dehors du centre-ville de St-Louis quand cet exploit a eu lieu.

« Pendant que ces deux pirates jouaient à distance avec la climatisation, la radio et les essuie-glaces, je me suis félicité mentalement de faire preuve d’autant de courage, malgré la pression. C’est à ce moment-là qu’ils ont arrêté le fonctionnement de la boîte de vitesse. » 

La source, le rapport du site Internet de Wired, révèle la réaction du conducteur face au comportement compulsif de sa très intelligente voiture connectée. Le journaliste Andy Greenberg, qui était derrière le volant, déclare que les chercheurs ont pris les commandes des freins et de l’accélérateur de la voiture, ainsi que d’autres éléments moins importants comme la radio, le klaxon et les essuie-glaces. Afin de procéder, Chris et Charlie ont dû pirater le système de divertissement Uconnect par le biais d’un réseau cellulaire.

Heureusement, cette situation n’est pas complètement laissée sans surveillance. Le système de fonctionnement ainsi que les constructeurs automobiles appliquent maintenant des mesures de cybersécurité importantes et nécessaires. On veut bien le croire !

Comme Chris Valasek a dit : « Quand je me suis rendu compte que les hackers pouvaient faire ça de n’importe où, seulement en utilisant Internet, j’ai paniqué, j’ai pris peur. Je me suis dit, putain, c’est une voiture sur une autoroute au centre du pays. C’est à ce moment-là que le piratage de voiture est devenu réel. « 

Malheureusement, toutes ces mesures importantes sont insuffisantes. Les géants des logiciels informatiques, tels que Microsoft et Apple, ont passé des années à développer des méthodes efficaces afin de corriger les failles de sécurité de leurs produits. Toutefois, l’industrie automobile n’en a tout simplement pas le temps. De plus, ce n’est pas la première fois qu’une voiture se fait pirater, mais il y a toujours beaucoup de problèmes de sécurité, que personne ne semble pressé de résoudre.

Il pourrait y avoir d’autres véhicules avec les mêmes failles. Miller et Valasek n’ont vérifié aucune voiture fabriquée par Ford, General Motors ou d’autres constructeurs automobiles. Pire encore, Miller a dit : « un pirate doué pourrait prendre les commandes d’un groupe d’unités principales d’Uconnect et les utiliser pour réaliser plus de scans, comme avec un ensemble d’ordinateurs piratés, et infecter les systèmes des tableaux de bord entre eux à travers le réseau Sprint. Cela entraînerait un botnet d’automobiles contrôlées à distance, englobant des centaines de milliers de véhicules ». C’est effectivement une bonne base pour un sabotage terroriste ou une cyberattaque initiée par un État.

Serge Lozhkin, chercheur en chef en matière de sécurité de l’équipe GReAT de Kaspersky Lab, nous a dit : « Chez Kaspersky Lab, nous pensons que pour éviter de tels incidents, les constructeurs automobiles devraient élaborer l’architecture intelligente de leurs voitures en tenant compte de deux principes de bases : l’isolation et les communications contrôlées ».

« L’isolation signifie que deux systèmes séparés ne peuvent pas s’influencer mutuellement. Par exemple, le système de divertissement ne devrait pas avoir de répercussions sur le système de contrôle, contrairement à ce qui s’est passé avec le piratage de la Jeep Cherokee. Les communications contrôlées signifient qu’il faudrait complétement mettre en œuvre la cryptographie ainsi que l’authentification afin de transmettre et d’accepter les données transmises et reçues par la voiture. Selon les résultats de l’expérience avec la Jeep dont nous avons été témoins, soit les algorithmes d’authentification étaient faibles et vulnérables, soit la cryptographie n’était pas mise en œuvre correctement ».

Tant que les problèmes de sécurité ne sont pas réglés au niveau de l’industrie, nous pouvons tous penser à réutiliser des vélos, à remonter à cheval ou à reprendre de vieilles voitures. Les chercheurs en matière de sécurité vont présenter leurs trouvailles pendant la conférence du Black Hat qui aura lieu en août 2015 et nous écouterons volontiers leur rapport.