Le piratage d'un SUV Jeep Cherokee, détaillé dans un article de Wired, a eu lieu dans des conditions plus ou moins contrôlées : le conducteur, un journaliste de Wired, savait ce qui allait se passer. Mais la prise de contrôle a eu lieu sur l’autoroute Interstate 64, près de Saint-Louis, à une heure où le trafic était dense : à un moment donné, le véhicule a été ralenti au point de gêner les voitures arrivant derrière lui. Le groupe Fiat/Chrysler a déclaré que rien ne permettait de dire qu’une attaque de ce genre avait été lancée par surprise contre les propriétaires de voitures de la marque, mais celle-ci met clairement en évidence une faille dans la sécurité des véhicules du constructeur. Charlie Miller et Chris Valasek, à l’origine d’un proof-of-concept qu’ils présenteront à la prochaine conférence Black Hat 2015 qui se tiendra du 1er au 6 août prochain à Las Vegas, travaillent depuis plusieurs mois avec Chrysler qui a déjà livré un correctif début juillet. Mais l'attention des médias sur l’évènement relaté par Wired a poussé le constructeur à faire un rappel de ses véhicules.
Chrysler a rapidement livré un correctif et, comme la plupart des entreprises prises au dépourvu par les pirates, le constructeur a souligné le degré de sophistication et la difficulté à mettre en œuvre une telle attaque. « Le piratage à l’origine de ce rappel demande des connaissances techniques uniques et très complexes, un accès physique prolongé à un véhicule témoin et beaucoup de temps pour écrire du code ». Reste que si deux hackers ont pu exploiter une faille à distance sur un véhicule connecté, cela prouve que c’est possible. Et c’est exactement pour cela que les deux sénateurs américains Ed Markey et Richard Blumenthal ont déposé la semaine dernière une proposition de loi obligeant les constructeurs automobiles à mieux protéger leurs véhicules contre les pirates informatiques. En particulier, le projet de loi intitulé Security and Privacy in Your Car Act 2015 vise à garantir que les systèmes logiciels critiques embarqués dans les voitures soient isolés et que l'ensemble du véhicule soit protégé contre le piratage sur la base « de mesures raisonnables ».
Mise à jour préventive
Chrysler affirme qu'il a déjà renforcé la sécurité de son réseau embarqué pour empêcher le piratage démontré dans l'article de Wired et que ses voitures sont déjà protégées contre une attaque de ce type. Le rappel, que le constructeur automobile a lancé volontairement, permettra de faire une mise à jour logicielle avec « des fonctions de sécurité supplémentaires », comme il l’a indiqué dans un communiqué, sans préciser toutefois la nature de ces nouvelles fonctions de sécurité.
Les véhicules concernés par le rappel de Chrysler sont les suivants :
- Les véhicules « personnalisables » My Dodge Viper de 2013 à 2015
- Les Ram Pickup des séries 1500, 2500 et 3500 de 2013 à 2015
- Les Ram Chassis Cab des séries 3500, 4500, 5500 de 2013 à 2015
- Les SUV Jeep Grand Cherokee et Cherokee de 2013 à 2015
- Les SUV Dodge Durango de 2014 à 2015
- Les berlines MY Chrysler 200, Chrysler 300 et Dodge Charger de 2015
- Les coupés sport Dodge Challenger de 2015
Les propriétaires des véhicules mentionnés dans cette liste recevront une clé USB qui sert à mettre à jour le logiciel de leur voiture. Le constructeur a également mis en place une page web qui permet aux propriétaires de savoir, à partir du numéro d'identification du véhicule (VIN), s’il est concerné ou non par la mise à jour.