La vulnérabilité des véhicules connectés a de quoi soulever de vives inquiétudes. Après la prise de contrôle en juillet dernier d'une Jeep Cherokee fabriquée par Fiat/Chrysler ayant entraîné le rappel de 1,4 million de modèles, des chercheurs en sécurité ont montré comment une Corvette pouvait être exposée à un piratage à distance. La prise de contrôle a pu être effectuée en utilisant une unité de contrôle télématique (TCU), en l’occurrence un dongle qui se branche sur le port OBD-II (On-Board Diagnostics II) du véhicule. Ce port se trouve généralement sous le tableau de bord du côté du conducteur. L’accessoire en question a été fabriqué par la société française Mobile Device Ingenierie. Cette dernière a indiqué qu’elle avait diffusé des mises à jour de sécurité pour son produit.
Les TCU et leurs connexions cellulaires sont de plus en plus utilisées dans les voitures par les compagnies d'assurance pour surveiller les pilotes ou pour assurer la gestion des flottes. Lors de la conférence Usenix 2015 sur la sécurité qui s’est déroulée cette semaine à Washington D.C. (du 12 au 14 août), des chercheurs de l'Université de Californie ont montré comment un dongle de la série C4E fabriqué par Mobile Devices Ingenierie pouvait être contrôlé à distance (cf le document qu'ils ont publié). L’unité de contrôle télématique collecte les données du véhicule en accédant au bus CAN (Controller Area Network) qui permet aux microcontrôleurs et périphériques de communiquer entre eux. Celui-ci s’interface avec une grande variété de capteurs. Les universitaires ont montré qu'ils avaient pu envoyer à distance une commande par un message texte vers la TCU et accéder au bus CAN. Ceci leur a permis de prendre le contrôle des essuie-glaces et des freins d’une Corvette roulant à faible allure à en juger par une vidéo.
Activer automatiquement les dispositifs de sécurité
Aaron Solomon, CEO de Mobile Devices, a indiqué par email que sa société identifiait, avec ses clients, les dispositifs vulnérables qui avaient été déployés afin de les sécuriser d’ici dix jours en s’assurant que la mise à jour sera bien appliquée sur les véhicules concernés. L’une des difficultés rencontrées tient au mode de distribution des produits qui sont vendus par des intégrateurs sous une forme permettant à ceux-ci de développer leurs propres applications. Les TCU disposent d’un mode production qui, s’il est activé, renforce la sécurité, mais ce sont les intégrateurs qui décident quand et comment l’activer, explique le dirigeant de Mobile Devices. La société change son approche de gestion de la sécurité avec de nouvelles dispositions qui activeront automatiquement le package de sécurité quand les accessoires seront déployés.
Pour contrôler les essuie-glace et actionner les freins de la Corvette, les chercheurs sont passés par une unité de contrôle télématique de la gamme C4E de Mobile Devices.
La Corvette utilisée par les chercheurs n’a pas de vulnérabilité en elle-même et l’attaque s’est seulement focalisée sur le TCU de Mobile Devices. Mais les constructeurs automobiles installent également leurs propres unités de contrôle télématique qui ont aussi montré qu’elles étaient vulnérables.