Un journaliste de Wired s’est porté volontaire pour être le ‘mannequin test’ du piratage en direct d’une Jeep en déplacement par Charlie Miller et Chris Valasek.
Ces deux spécialistes de la sécurité donneront une conférence sur le sujet lors de la conférence Black Hat USA 2015, qui se tiendra du 1 au 6 août à Las Vegas.
Il y a quelques années, ils avaient déjà montré comment prendre le contrôle de voitures comme la Toyota Prius en se servant du port de diagnostic embarqué ODB contenu dans chaque voiture.
Désormais, le contrôle peut être pris à distance. Pas seulement via une connexion Wi-Fi, qui aurait fortement limité l’étendue géographique de piratage, mais sur tout réseau cellulaire, ce qui permet de pirater une voiture de presque n’importe où dans le monde.
Au moment où l’on prédit une explosion de l’Internet des objets, et où l’on minimise bien volontiers la sécurité désastreuse de la plupart des équipements médicaux, l’expérience conduira, on l’espère, à une réelle prise de conscience des enjeux de la cybersécurité.
Car la démonstration fait craindre le pire. De la prise de contrôle de l’air conditionné, du système audio, des essuies-glaces au blocage des freins ou au contrôle de l’accélérateur, bien peu de fonctions de la voiture semblent à l’abri d’un simple laptop connecté à Internet.
Et rien ne laisse à penser que les voitures européennes soient moins perméables à ce type d’attaques jour zéro. Dans leur précédente étude, notamment financée par la Darpa, les deux chercheurs avaient montré les failles de sécurité de nombreux modèles de fabricants comme Audi, BMW Toyota, Chrysler ou Ford. En janvier 2015, l’Allgemeiner Deutscher Automobil-Club e.V. montrait comment voler une BMW avec un smartphone.
Et le sous-système de connexion à Internet est bien souvent le même dans les autres types de véhicules, comme les camions.
Dans le cas du système analysé et attaqué, uConnect de Chrysler, les deux chercheurs travaillent depuis des mois avec le fabricant. Ce qui permettra à ce dernier de proposer une mise à jour du micrologiciel des véhicules. Mais comme cette mise à jour nécessite la connexion physique d’une clé USB, par exemple chez un garagiste, on peut craindre que la plupart des voitures ne soient jamais mises à jour. D’après leurs calculs, près de 500 000 véhicules sont vulnérables à une attaque UConnect.
En 2011 déjà, des universitaires américains avaient déjà réussi à désactiver à distance les freins d’une voiture.
Aux États-Unis, ce genre de démonstration a incité deux sénateurs à questionner les fabricants automobiles sur la cybersécurité de leurs véhicules. Ils prépareraient des nouvelles régulations qui protégeraient mieux les consommateurs contre ce genre d’attaques.