Mieux Prévenir

Comprendre le rapport entre la santé et l'environnement pour mieux protéger nos enfants et les générations futures.

21 oct. 2016

Cybersécurité automobile: y a-t-il un pirate au volant?

Cybersécurité automobile: y a-t-il un pirate au volant?
par Bertrand Beauté, 24 heures, 
8 octobre 2016

Piratage : Des hackers sont parvenus à prendre le contrôle d’une Tesla à distance. Une attaque qui fait craindre le pire.

La vidéo est impressionnante. Mais elle risque de donner quelques sueurs froides aux conducteurs. Des informaticiens chinois de Keen Security Lab sont parvenus à prendre le contrôle d’une Tesla Model S à distance. Leur expérience, publiée sur YouTube le 19 septembre dernier et visionnée près de 500 000 fois, fait sourire autant qu’elle inquiète. Pour la partie divertissante, les hackers s’amusent à ouvrir le coffre, allumer les phares ou les essuie-glaces de la voiture. Un brin agaçant si l’on est au volant, mais pas mortel. Le test prend une toute autre tournure lorsque les informaticiens parviennent à actionner la pédale de frein et à arrêter la Tesla à 19 kilomètres de distance.

Pas de logiciel inviolable

Loin d’être isolée, cette histoire en rappelle deux autres. En 2015, une Tesla, déjà, avait subi une démonstration de hacking. Mais à l’époque, le piratage, qui avait nécessité deux ans de travail, semblait extrêmement difficile à réaliser. Les auteurs soulignaient d’ailleurs le bon niveau de sécurité informatique du véhicule. Chrysler n’avait pas eu cette chance. Toujours en 2015, deux experts en sécurité informatique – Charlie Miller (ingénieur en sécurité chez Twitter) et Chris Valasek (chercheur spécialisé sur les véhicules) – ont pris, pour le magazine Wired, le contrôle d’une Jeep Cherokee, parvenant notamment à couper le moteur sur l’autoroute.

L’expérience a conduit la marque à rappeler 1,4 million de voitures afin d’installer un patch de sécurité censé éviter de nouveaux piratages. «Mais les solutions de protection introduisent elles-mêmes de nouvelles failles, qu’il faut ensuite combler, note Abdelmalek Benzekri, spécialiste en sécurité des communications à l’Institut de recherche en informatique de Toulouse (IRIT). Le logiciel «zéro défaut» reste un vœu pieux, un idéal derrière lequel nous courrons tous.»

Risque d’attentats

Alors faut-il s’inquiéter? Actuellement, le risque reste faible, selon Kaspersky Lab, qui, dans une note publiée en mars 2016, estime que pirater une voiture est une «tâche difficile et compliquée». Mais une chose est sûre: plus les objets embarquent de logiciels, plus ils sont reliés à Internet, plus ils sont potentiellement vulnérables. «Avec la multiplication sur nos routes des véhicules connectés, semi-autonomes et, un jour, totalement autonomes, la probabilité d’un piratage augmente mathématiquement», résume Abdelmalek Benzekri.

Selon le cabinet IHS, le nombre d’automobiles connectées en circulation devrait passer de 23 millions en 2014 à plus de 200 millions à l’horizon 2020. Censées améliorer la sécurité et apporter des divertissements aux voyageurs (multimédia, Wi-Fi, Bluetooth…), ces technologies «créent beaucoup d’opportunités nouvelles et excitantes pour les consommateurs mais génèrent aussi des défis, a reconnu Mary Barra, la PDG de General Motors (GM), en juillet dernier. L’un de ces défis est la problématique de la cybersécurité.»

Prise de conscience

Depuis l’attentat de Nice, les autorités américaines redoutent notamment qu’un pirate informatique prenne à distance le contrôle d’une voiture pour l’utiliser comme projectile. «Le sujet est épineux, estime Abdelmalek Benzekri. Pour savoir si un système est bien protégé, il faut le tester. Et les marques sont peu enclines à dévoiler leurs codes justement pour des raisons de sécurité. Donc je ne saurais vous dire si les voitures actuelles sont vulnérables. Ce qui est sûr, c’est que nous disposons dans nos cartons de solutions à de nombreux problèmes informatiques. Mais les constructeurs ont-ils implanté ces systèmes dans leur produit? Là est toute la question. De manière générale, l’industrie automobile prend de plus en plus de risques en implémentant des outils développés pour d’autres usages. Ces «cots» (ndlr: pour «components on the shelf», composants pris sur l’étagère) ne sont pas adaptés, en termes de sécurité, à l’usage automobile. Les constructeurs devraient revenir à des produits développés spécifiquement pour leur secteur.» Dans le cas de la Jeep Cherokee, c’est le système Uconnect, qui propose des services de navigation, d’appel téléphonique et d’accès Wi-Fi, qui a servi de cheval de Troie pour les informaticiens. Entrant dans le réseau informatique du véhicule par le biais de ce service d’agrément, les informaticiens sont parvenus ensuite à accéder aux organes vitaux de la voiture.

Récompenses pour les hackers

«En théorie, les logiciels de divertissement, de maintenance et de contrôle des véhicules devraient être parfaitement étanches, poursuit Abdelmalek Benzekri. Mais en pratique, nous ne savons pas garantir cela. Le mieux serait donc que les systèmes de distraction et les organes vitaux ne communiquent pas entre eux.» Si les programmes inviolables n’existent pas, les constructeurs automobiles semblent néanmoins prendre la question de la cybersécurité de plus en plus au sérieux. Suivant l’exemple des principaux éditeurs de logiciels, les fabricants de voitures encouragent désormais financièrement les hackers à les informer des failles identifiées dans leurs produits. Tesla a ainsi promis de récompenser les chercheurs chinois suivant son programme de chasseurs de bugs, qui prévoit des primes allant de 100 à 10000 dollars par alerte.

Y a-t-il un pirate dans l’avion?

Si l’industrie automobile est actuellement pointées du doigt en raison de ses failles de sécurité, elle n’est pas la seule concernée. En 2015, l’ingénieur spécialisé dans la sécurité informatique Chris Roberts a été appréhendé par le FBI à l’aéroport de Syracuse, dans l’Etat de New York. Les autorités lui reprochent d’avoir brièvement modifié la trajectoire d’un avion de ligne Boeing, depuis son siège passager… Là encore, le cheval de Troie utilisé par le hacker se trouve dans les écrans de divertissement présents dans la plupart des vols. En branchant un câble Ethernet, le pirate a pu – facilement selon lui – entrer dans le système informatique de l’avion.

Vidéo du piratage de la Tesla:
[Voir article original.]

http://www.24heures.ch/high-tech/cybersecurite-automobile-atil-pirate-volant/story/27611348

Aucun commentaire:

Enregistrer un commentaire