Une petite semaine avant l’ouverture du FIC (Forum International de la Cybersécurité) de Lille*, les 25 et 26 janvier à Lille, nous avons rencontré le colonel de gendarmerie Franck Marescal, en charge de l’observatoire central des systèmes de transports intelligents. Une unité spéciale composée pour l’instant de deux membres qui se penche sur toutes les questions de sécurité liées aux véhicules de transports connectés: les voitures, les trains mais aussi les aéroplanes. Le 26 janvier au FIC, le colonel animera d’ailleurs une table ronde à 14h45 sur la sécurité dans les transports intelligents (salle B20) avec Pascal Andrei, chief product security officer chez Airbus, Michèle Guilbot, directrice de recherche, aspect réglementation à l’IFSTTAR et Eric Dequi expert en systèmes embarques. L’idée est de revenir sur les dernières tentatives de piratage sur un avion ou une voiture afin d’envisager - si nécessaire - des protections adaptées.
Le chef d'escadron Millet devant des équipements dédiés au contrôle des numéros de série des voitures.
L’affaire de la Jeep Chrysler hackée à distance par deux chercheurs en sécurité pour le compte du magazine Wired a laissé des traces. Si Fiat Chrysler a été obligé de livrer en urgence un patch pour combler les failles de son système embarqué Uconnect dans plusieurs véhicules de la marque, plusieurs centaines de milliers de véhicules sont aujourd’hui en situation de vulnérabilité. Il ne s’agit pas seulement de prises de contrôle à distance des commandes mais plus prosaïquement de tentatives de vols. Le chef d’escadron Millet nous a confirmé que les vols de voitures étaient de plus en plus souvent réalisés avec des outils électroniques. « L’arrachage des câbles électriques ne permet plus de démarrer sur les voitures modernes, c’est devenu un mythe ». Même le home et le car-jacking sont passés de mode selon l’officier spécialisé au profit du mouse-jacking, le vol de voiture assisté par ordinateur.
Une dizaine de portes d’entrée dans les voitures
Les vecteurs d’attaques se sont multipliés dans les automobiles avec le développements des services connectés, à savoir capteur de pression, modem 4G/LTE (accès Internet), WiFi (partage de connexion), Bluetooth (connexion des terminaux mobiles au véhicule), RFID (ouverture des portes), les prises USB internes ou encore le port ODB. Tout comme les objets connectés qui se multiplient, les voitures modernes sont devenues de véritables passoires numériques. L’informatique embarquée d’une Tesla S par exemple contient près de 5 300 composants informatiques et électroniques dont un écran multimédia tactile de 17 pouces armé d'un processeur 4 coeurs Nvidia Tegra 3. Qui plus est les mises à jour de l’OS embarqué se font Over The Air. Des hackers avaient réussi à exploiter la faiblesse des mots de passe des comptes Teslamotors.com pour activer à distance certaines fonctions (déverrouiller à distance les portes d’un véhicule, le localiser, fermer et ouvrir le toit, actionner les éclairages ou klaxonner). Un peu ballot pour une voiture commercialisée à partir de 65 000 euros.
Les voitures modernes sont devenues de véritables passoires numériques.
Le travail de l’observatoire du colonel Marescal consiste justement à connaître et partager les vulnérabilités potentielles avec les constructeurs et les équipementiers automobiles. « Mais cela peut également aussi intéresser la gendarmerie pour la sécurité routière et les enquêtes », nous a assuré le colonel, lors d’une journée portes ouvertes au C3N (Centre de lutte contre les criminalités numériques). « La démarche générale de sécurité, les constructeurs automobiles l’ont bien comprises », précise le colonel qui travaille étroitement avec les représentants de l’industrie française. Un cahier des charges est d’ailleurs en cours d’élaboration pour rassembler des préconisations et éviter dans les années à venir des attaques de type ransomware (véhicule bloqué jusqu’au paiement d’une rançon) et DDoS contre l’adresse IP d’une voiture connectée. En France, les expérimentations autour des voitures connectées ont commencé. Les 26 et 27 janvier prochains se tiendra d’ailleurs à Montrouge « Les rencontres de la mobilité intelligente » organisées par les l’ATEC ITS France avec des ateliers sur les transports de demain.
* Le Monde Informatique est partenaire média du FIC 2016.
Ils ont bien raison de s'inquiéter: si un jour j'ai une voiture connectée et que je reçois un PV, je leur renvoie en leur disant de s'adresser à l'éditeur du logiciel, que je ne suis pas responsable des bugs !
Signaler un abus