Abonnement H+ Magazine
Commander H+ Magazine

Hacker à distance une voiture connectée

Remotely hack a connected car

Actuellement, les voitures connectées facilitent la vie des conducteurs. Depuis un simple smartphone, il devient possible de régler la ventilation, de consulter le GPS voire même de démarrer son moteur. Il arrive cependant que ces fonctions soient précisément ce qui complique la vie de l’utilisateur. Comme dans le cas dévoilé par deux hackers américains.

Chris Valasek et Charlie Miller sont deux white hats, c’est à dire des hackers dont le but est de trouver des failles de sécurité pour les corriger avant qu’elles ne soient exploitées de façon malveillante. Il y a deux ans, ils avaient piraté une voiture de série à l’aide d’un simple ordinateur portable. Ils avaient réussi à leurrer le GPS, à freiner ou à tourner le volant sans que le conducteur ne puisse s’y opposer ou encore à fausser l’indicateur de vitesse. Pour cela toutefois, ils devaient se trouver à l’intérieur du véhicule et avoir installé une connexion physique, c’est-à-dire avec un câble, pour rentrer dans le système.

Accéder au système informatique d'un véhicule à distance

Cette année, les deux hackers se sont surpassés. Dans une vidéo, publiée sur le site de Wired, ils ont pris le contrôle, à distance, d’une jeep conduite par Andy Greenberg, un journaliste de Wired qui avait accepté de jouer le rôle de la victime. Une fois la voiture sur l’autoroute, les deux hackers ont lancé leur offensive, après avoir précisé au conducteur qu’ils feraient leur démonstration de la façon la plus sécurisée possible. Ils ont commencé en allumant la ventilation du véhicule au maximum. Ensuite, sûrement afin d’adoucir les mœurs du conducteur perturbé, ils ont allumé la radio en la réglant sur une chaîne de hip-hop diffusée à fond dans l’habitacle.

Les deux hackers ont ensuite démontré le danger de ce genre de hacking. Ils ont débuté en allumant les essuies-glace et en actionnant le liquide lave-glace. Sans visibilité, le conducteur assiste impuissant au coup fatal que portent les hackers à la voiture en coupant purement et simplement le moteur au milieu de l’autoroute. La démonstration continue quelques temps plus tard sur un parking. Les hackers montrent à Andy Greenberg qu’il peuvent, lorsque la voiture est en marche arrière, prendre le contrôle de la direction et même couper les freins alors que le journaliste tente de se garer devant un fossé. Les deux hackers ont indiqué exploiter une faille du système Uconnect, un système à distance qui permet de connecter son véhicule à son smartphone. Toutefois, si un hacker possède l’adresse IP de la voiture, il devient possible en passant par le système multimédia d’accéder au système informatique complet du véhicule.

La jeep envoyée dans le fossé

Les deux hackers ont indiqué à Chrysler les failles qu’ils ont découvertes et qu’ils révèleront lors de la prochaine conférence Black Hat, une conférence dédiée à la sécurité informatique. Le constructeur automobile a fourni une mise à jour supprimant cette faille. Celle-ci doit toutefois être installée manuellement par le propriétaire ou par un concessionnaire. Les deux hackers espèrent que cette démonstration attirera l’attention des consommateurs et fera prendre conscience aux constructeurs des problèmes de sécurité. Cette démonstration a eu lieu alors que le sénateur américain Ed Markey a annoncé vouloir déposer une loi afin de forcer les constructeurs automobiles à mieux sécuriser les véhicules connectés. Le sénateur avait, en février, publié un rapport dans lequel sont compilées les réponses de seize constructeurs automobiles sur le sujet de la sécurité.

Le rapport est assez pessimiste, puisqu’il conclut qu’aucune mesure n’a été prise pour empêcher une prise de contrôle du véhicule non désirée, qu’elle soit à distance ou avec une connexion physique. De plus, la sécurité des données recueillies par la voiture n’est pas garantie et les constructeurs ne communiquent pas clairement sur la collecte des données avec leurs utilisateurs. Sur les seize constructeurs, neuf d’entre eux ont relégué cette tâche à des sociétés externes.

Les deux hackers Chris Valasek et Charlie Miller

Crédits photo : Wired


Laisser un commentaire