Le FBI alerte sur les risques de piratage des voitures connectées


Le Federal Bureau of Investigation (FBI) vient de publier un bulletin d’alerte destiné à sensibiliser les constructeurs automobiles ainsi que les conducteurs aux risques potentiels de piratage des véhicules dotés de systèmes connectés à Internet ou aux réseaux cellulaires.
À l’image de ce qui se passe avec les ordinateurs, la sécurité des systèmes informatiques des véhicules est en train de devenir un enjeu crucial. 

En juillet 2015, Charlie Miller et Chris Valasek, deux chercheurs en sécurité informatique spécialisés dans les systèmes électroniques des véhicules, créaient la stupeur en prenant le contrôle d’une Jeep Cherokee à distance grâce à une simple connexion cellulaire. Ils avaient trouvé et exploité une vulnérabilité au niveau du service Uconnect, disponible sur des centaines de milliers de modèles du groupe Fiat Chrysler, qui permet aux conducteurs d’activer certaines fonctions depuis leur smartphone. Bilan, le constructeur avait été contraint à un rappel massif de 1,4 million de véhicules afin de procéder à une mise à jour logicielle.

Un coup de semonce qui est venu mettre en lumière une réalité encore méconnue du grand public : les voitures modernes sont aussi des ordinateurs qui peuvent être piratés. En France, un Observatoire central des systèmes de transport intelligents a été créé en juillet 2015. À sa tête, le colonel de gendarmerie Franck Marescal, dont la mission est de suivre ces questions de sécurité dans le domaine des transports. « Comme tout système informatique, le véhicule possède aussi de nombreuses surfaces d’attaques », écrivait-il récemment sur le site de l’Observatoire du Forum International de la Cybersécurité.

Une analyse partagée par de nombreux experts internationaux et qui vient de pousser le fameux FBI (Federal Bureau of Investigation) à tirer la sonnette d’alarme. Dans un document mis en ligne il y a quelques jours, il estime que « des failles de sécurité peuvent exister au niveau des fonctions de communication sans fil d’un véhicule, sur un téléphone cellulaire ou une tablette connectés au véhicule via USB, Bluetooth ou Wi-Fi ou également au niveau d’appareils tiers branchés sur la prise de diagnostic ».

Par ce biais, des cyberpirates pourraient s’infiltrer à distance dans les boîtiers électroniques que l’on appelle communément des ECU (Electronic Control Unit, en anglais). Il s’agit de calculateurs qui commandent les éléments vitaux d’un véhicule : freinage, accélérateur, direction, éclairage, essuie-glace, etc. Pour permettre la maintenance, les constructeurs ont ménagé une porte d’accès à ces ECU via ce que l’on appelle la prise de diagnostique ou prise OBD (On-Board Diagnostics).



Charlie Miller (à gauche) et Chris Valasek (à droite) posent devant la Jeep Cherokee qu’ils ont réussi à pirater à distance. 

Des voitures de plus en plus connectées et donc vulnérables
Or, cette connectique est aujourd’hui utilisée par des fabricants tiers qui, pour quelques dizaines d’euros, proposent des boîtiers de télématique qui permettent de se connecter à sa voiture via son smartphone ou son PC portable en Wi-Fi, Bluetooth ou USB. Grâce à eux, l’automobiliste peut consulter sa consommation de carburant, connaître la puissance moteur, le couple, l’accélération, voire lire et effacer les codes d'erreur émis par les ECU.

Par ailleurs, certaines compagnies d’assurance proposent à leurs clients des remises sur leur contrat en échange de l’installation d’une sorte de « boîte noire » branchée sur la prise OBD qui va surveiller leur style de conduite. Pour le FBI, ces outils connectés à la prise de diagnostique peuvent créer une vulnérabilité en instaurant une connectivité là où il n’y en avait pas auparavant.

Les experts de la police fédérale nord-américaine s’inquiètent également des points d’entrée potentiels que représentent les systèmes de déverrouillage et de démarrage sans clé, les capteurs de pression des pneumatiques ainsi que les systèmes multimédias embarqués qui sont eux-mêmes connectés à Internet et accessibles à distance depuis un terminal mobile.

Les recommandations du FBI aux conducteurs
En conséquence, le FBI fait un certain nombre de recommandations aux conducteurs :
  • vérifier auprès du constructeur l’existence de mises à jour de sécurité des logiciels embarqués ;
  • ne pas modifier ces logiciels en intervenant via la prise OBD ;
  • être vigilant sur la sécurité des outils de connexion proposés par des fabricants tiers ;
  • faire attention aux personnes ayant un accès physique au véhicule.
La mise en garde concerne également les constructeurs automobiles. Voilà déjà un certain temps que les experts en sécurité estiment que ces derniers doivent adopter la même approche que dans le monde informatique afin de protéger les véhicules contre le piratage en amont lors de la conception et en aval avec la diffusion de mises à jour régulières.


Sans tomber dans un alarmisme excessif, il faut se rendre compte que cet enjeu va aller en grandissant alors que les systèmes embarqués des voitures modernes sont désormais pensés comme des prolongements des écosystèmes mobiles où l’on retrouve notamment les environnements Android et iOS. Sans parler des voitures autonomes dont le fonctionnement repose totalement sur des systèmes informatisés et connectés dont la sécurité devra absolument être à toute épreuve.

Commentaires