Voitures connectées – pratiques et vulnérables

7 Juil 2014

Si vous avez déjà entendu parlé de concepts futuristes comme « smart home » et « Internet des choses » (objets connectés), je vous surprendrai peut-être en vous disant qu’actuellement les environnements intelligents de ce type les plus complets se trouvent dans les voitures modernes.

cars.min

Une voiture traditionnelle comprend une douzaine d’ordinateurs qui contrôlent les freins, les roues, les phares, la température et tout le reste. Bien évidemment, les fabricants ont suivi la tendance et ont permis l’utilisation de plusieurs services en ligne dans les nouvelles voitures afin de faire qu’elles soient « connectées ». Par conséquent, vous pouvez ajuster à distance la climatisation de votre voiture en utilisant votre smartphone, vous rendre sur Google Map depuis le tableau de bord de votre voiture ou mettre en marche le système automatique d’urgence qui peut contacter de l’aide et fournir aux secours les coordonnées géographiques d’un accident.

L’utilisation de tels services est déjà très répandue, comme l’a démontré une étude récente conduite par une branche espagnole de l’Interactive Advertising Bureau (IAB). L’analyse des fonctionnalités « connectées » intégrées aux nouvelles voitures de 15 marques automobiles leaders, y compris Audi, BMW, Ford, Lexus, Opel, Renault, Volvo et autres, indique que tous les fabricants ont inclus une solution de connectivité. Un groupe de fabricants se concentre sur les solutions intégrées au véhicule alors qu’un autre se concentre plus sur l’intégration des smartphones. BMW arrive en tête avec 20 applications pour smartphone et 14 applications intégrées au véhicule, qui fournissent toutes les options possibles, de Spotify à des diagnostics du véhicule à distance. Il n’est pas étonnant que IAB ait demandé à Kaspersky Lab d’évaluer les risques de sécurité impliqués dans l’utilisation d’une « voiture connectée » BMW.

Bien évidemment, les scénarios les plus inquiétants incluent le piratage du volant et des freins, ce qui a été démontré avant sur d’autres marques, mais pour cette étude, les experts de Kaspersky se sont concentrés sur le détournement de certaines fonctionnalités « normales » de la voiture connectée. La plus étonnante est bien évidemment la possibilité d’ouvrir la voiture sans la clé, en utilisant un smartphone ou une application appelée My BMW Remote.

Pour être juste, les développeurs de BMW ont fait un travail relativement  correct en mettant en place l’authentification à deux facteurs qui requiert l’installation d’une clé virtuelle sur un smartphone. Néanmoins, n’importe quel expert qui a eu affaire à un cheval de Troie bancaire peut facilement décrire des astuces utilisées par les criminels pour passer outre ce type de protection. Une combinaison d’hameçonnage, d’enregistrement de frappes et de techniques de l’homme du milieu, ainsi que d’ingénierie sociale permet aux criminels de contourner les mécanismes de protection les plus avancés. Dans un test pratique, un chercheur a réussi à intercepter les identifiants de la victime et à installer l’application de la clé sur son smartphone, lui permettant ainsi de pouvoir ouvrir la voiture sans l’aide de son propriétaire.

« Les propriétaires de voitures connectées pourraient faire face à des risques allant du vol de mots de passe au contrôle à distance et même au déverrouillage des portes. Les menaces, spécifiques au monde informatique, pourraient également exister dans l’industrie automobile et les propriétaires des voitures du futur doivent apprendre à prendre ces risques en compte » – a expliqué Vicente Diaz, chercheur en sécurité chez Kaspersky Lab.