Ce sont deux experts en sécurité informatique qui sont parvenus, depuis une habitation, à prendre le contrôle de différentes fonctions d’une Jeep Cherokee. En commençant par des « petites choses » telles que les essuie-glace ou le lecteur mp3, les deux pirates se sont amusés à perturber l’allure du véhicule en contrôlant l’accélérateur. Ils sont pratiquement parvenus à le stopper en pleine autoroute. Le constructeur est contraint de réagir.

La personne ayant effectué cette démonstration (au volant de la Jeep au moment des faits) n’est autre qu’un journaliste du magazine Wired, Andy Greenberg. Suite à la diffusion de son article, Chrysler, maison mère de Jeep, était alors contrainte de réagir. Le constructeur, FCA (Fiat Chrysler Automobiles) a décidé de rappeler 1,4 million de véhicules ayant été vendus aux États-Unis. Le problème de cette gamme de véhicules au niveau de la sécurité, tout comme certains modèles de chez Dodge ou autres, réside dans le fait qu’ils possèdent un mode de radio-transmissions commun.

C’est dans un article publié en juillet 2015 que le journaliste spécialisé en sécurité informatique du magazine américain Wired nous explique comment il est entré en contact avec deux experts en sécurité informatique, que nous appelleront les « hackers », afin de se faire pirater sa Jeep Cherokee, équipée d’un ordinateur de bord dernier cri et par conséquent, connecté. Les deux hackers en question : Charlie Miller (spécialiste en sécurité informatique chez Twitter) et Chris Valasek, occupant un poste à l’intitulé similaire chez IO Active. Tous deux sont connus pour avoir réussi à démontrer qu’il était possible de prendre le contrôle, et ce à distance, de voitures connectées, comme cela fut le cas pour une Ford Escape, dont ils avaient pris le contrôle des freins !

Un piratage à distance : 15 km séparaient les pirates de la voiture

Dans l’une des premières démonstrations de piratage datant de 2013, Miller et Valasek se trouvaient dans le véhicule, avec le journaliste. À l’aide de leurs ordinateurs portables, ils avaient déjà pu prendre le contrôle des différentes fonctions. Dans le cas présenté dans cet article, il y a donc une différence importante puisque les deux pirates se situaient cette fois à 15km du véhicule. En effet, ils se trouvaient chez Chris Miller au moment de l’attaque ! Le journaliste, Andy Greenberg, roulait alors sur une autoroute urbaine de Saint Louis, à plus de 100 km/h et ce, nous le rappelons, à 15km de là ! Les hackers démontrent ainsi qu’il n’est même pas nécessaire de se situer à proximité du véhicule, et cela fait peur ! La vidéo officielle de la démonstration ci-dessous :

Pour l’expérience, les malfrats (les deux pirates) n’ont révélé à l’avance aucunes de leurs attaques, mis à part que bien entendu, ils n’effectueraient aucunes manipulations compromettant de trop la sécurité du journaliste ainsi que celle des autres usagers de la route. Ils se sont contentés de prendre le contrôle d’éléments moins importants tel que les essuie-glace, la ventilation, le système de lavage du pare-brise ou la radio. Bien entendu, ils se sont tout de même permis un petit écart en prenant le contrôle de l’accélérateur, provoquant ainsi une réduction de la vitesse du véhicule, ce qui a eu comme effet immédiat un début d’encombrement routier.

Charlie Miller (à gauche) et Chris Valasek piratant la Jeep Cherokee depuis la maison de Charlie Miller pendant que le journaliste Andy Greenberg conduisait le véhicule sur une autoroute, à 15 kilomètres de là. Crédit : Wired.com

Étant pris de pannique, le journaliste a fini par téléphoner aux deux hackers pour leur demander de mettre fin aux attaques. Il a ensuite admis en riant, être en proie à un « syndrome de stress post-traumatique ». Et vous, arrivez-vous à imaginer les conséquences d’une telle attaque à distance sur votre véhicule ? Selon les intentions des hackers, tout serait possible, de la création d’un simple embouteillage à un accident grave ou mortel, d’autant plus que dans un tel cas, personne n’en serait informé à l’avance.



Mise à jour logicielle de sécurité : comme en informatique

Au final, cette anecdote a provoqué une réaction en deux temps de la part de Chrysler. Premièrement, Chrysler rappelle 1,4 million de véhicules (vendus aux Etats-Unis entre 2013 et 2015). Deuxièmement, ils publient une mise à jour logicielle qui permet d’améliorer la sécurité des ordinateurs de bord. Cela fait bien penser aux systèmes de mises à jour que l’on trouve en informatique finalement, où chaque mise à jour de votre logiciel antivirus consiste à combler les failles de sécurité identifiées et exploitées par les hackers. En tout cas, c’est mal parti pour nos futurs véhicules intelligents. Vous rendez-vous compte ? Quelle sera la suite ? Serons-nous bientôt contraints à la vulnérabilité des ordinateurs de bord de nos véhicules ? Ce n’est pas possible d’évoluer ainsi, il va forcément falloir trouver des solutions majeures. En cas d’attaques, ce ne sont pas de simples fichiers qui sont en jeu, mais votre sécurité, votre vie, et celle des autres. À terme, avec le développement futur d’éventuelles communautés de pirates automobiles, les différents constructeurs devront faire face à une pression importante, constante, et grandissante.

En bonus (vidéo)

Dans un épisode de « Phreaked Out » inspiré du jeu-vidéo « Watchdogs », quelques chercheurs en sécurité informatique spécialisés en piratage automobile nous informent et nous démontrent les différentes failles de ces systèmes embarqués connectés. Ils mettent en évidence les failles de sécurité afin de dénoncer les brèches importantes dans la sécurité de ces technologies automobiles, et ceci afin de faire pression sur les fabricants automobiles pour qu’ils perfectionnent leurs systèmes.

Le chercheur en sécurité informatique Mathew Solnik nous a fait une démonstration de première main sur la façon d’envoyer, à distance, des commandes à une voiture afin qu’elle exécute des actions précises. En un peu plus d’un mois de travail, Solnik a donc trouvé le temps, en dehors de son emploi à temps plein, de désosser le système informatique d’une voiture afin de parvenir à en prendre le contrôle.

Depuis son ordinateur portable, il a été capable de manipuler la voiture : le moteur, les freins et les systèmes de sécurité. Cela en envoyant, sans fil, des instructions dans le bus réseau CAN (Controller Area Network). Sans trop entrer dans les détails, le hacker a pu effectuer ces opérations en mettant en œuvre certaines puces off-the-shelf, une unité de contrôle de la télématique, une configuration GSM sans fil émetteur/récepteur ainsi qu’une quantité importante de savoir-faire, qu’il a pu accumuler au fil des ans.

La raison d’un tel matériel supplémentaire était de rendre le véhicule utilisé pour l’expérience plus vulnérable, tel que le sont certains véhicules plus récents, de plus en plus disposés à permettre la transmission de données. Bien qu’ils auraient aimé bricoler sur un modèle plus moderne et branché, mais ne disposant que d’un budget serré et surtout, en considérant qu’il est incroyablement difficile de trouver un ami disposé à prêter son véhicule pour une expérience de piratage, ils ont préféré faire autrement…

Cela dit, n’importe quelle voiture dont le système réseau est connecté à un serveur cloud et accessible par Bluetooth, via les réseaux cellulaires ou encore par le biais du wi-fi, est potentiellement vulnérable à ce genre d’intrusions.

Source : sciav

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.