Bourrées de technologies, les voitures deviennent une cible de piratage. Dans une étude intitulée « The most hackable car on the road », le cabinet de conseil PT&C/LWG, spécialisé dans les méthodes scientifiques appliquées aux enquêtes criminelles, rappelle que les véhicules modernes intègrent entre 20 et 70 ordinateurs, chacun d’eux ayant son utilisation spécifique. Les voitures présentant les plus grands risques d’attaques informatiques sont celles qui ont le plus de fonctions connectées ensemble, en particulier quand les réseaux radio ou WiFi peuvent être reliés aux composants physiques du véhicule.
Six modèles sont ainsi pointés du doigt par le cabinet. Sans surprise, on y retrouve la Jeep Cherokee (2014) de Fiat Chrysler qui a fait parler d’elle en juillet dernier lorsque deux spécialistes en sécurité, Charlie Miller et Chris Valasek, ont montré comment ils pouvaient en prendre le contrôle. Ils ont par la suite expliqué comment ils procédaient lors d’une intervention sur la conférence Black Hat en août. La Jeep Cherokee est le seul véhicule qui a dû être rappelé en raison des risques de piratage potentiels qu’il présente via son système Uconnect, note PT&C/LWG. La procédure de rappel a concerné 1,4 million de voitures (différents modèles de Dodge, Jeep et Chrysler).
Ford, GM et Toyota poursuivis en justice
L’étude cite ensuite l’Infiniti Q50 2014, rappelée en 2013 à cause de son logiciel de direction assistée, puis la Cadillac Escalade 2015, dont le système OnStar comporte aussi une grosse faille de sécurité. Les apps de la voiture, la liaison bluetooth et le système télématique sont sur le même réseau que la direction, les freins, les contrôles moteurs et le système de surveillance de pression des pneus.
La Toyota Prius est elle aussi épinglée à cause du logiciel utilisé dans le système de contrôle hybride qui a obligé le constructeur à rappeler plus de 1,9 million de Prius hybrides en 2014. Enfin, le dernier modèle cité par le cabinet de conseil est la Ford Fusion 2014. Au début de l’année, Ford, GM et Toyota ont été poursuivis en justice à cause des failles contenues dans les systèmes de leurs véhicules et qui permettaient à des attaquants de contrôler certaines fonctions à distance. « Sur les 21 000 voitures volées à Londres en 2013, il est estimé que 47% pouvaient prêter le flanc à une forme ou une autre de piratage », peut-on lire dans le rapport du cabinet.
La Tesla Model S recourt à Linux, moins exposé
A l’inverse, les voitures les moins vulnérables, toujours selon PT&C/LWG, seraient l’Audi A8, la Dodge Viper et la Honda Accord -trois modèles de 2014- ainsi que la Tesla Model S. Cette dernière a été mise à l’épreuve lors d’une récente conférence en Chine au cours de laquelle un hackathon avait lancé le défi d’en prendre le contrôle. Une seule équipe y est parvenue mais elle a dû se contenter de faire fonctionner les phares, le klaxon et le toit ouvrant. Il est vrai que les systèmes informatiques du véhicule tout électrique sont basés sur Linux et que la plupart des malwares sont développés pour les systèmes sous Windows, rappelle Robert Gragg, analyste chez PT&C/LWG, cité par nos confrères de ComputerWorld.
L’étude indique aussi à partir de quelles distances minimum un véhicule peut être piraté, suivant le protocole de communication sans fil qu’il utilise. Il est par exemple possible d’accéder à un système antivol passif et à un système Bluetooth à partir de 10 mètres, au système d’ouverture à partir de 20 mètres et au système de données radio à partir de 100 mètres. Et quand le piratage se fait via une liaison WiFi, l'attaquant peut être n’importe où avec un accès Internet. C’est un problème car les constructeurs installent de plus en plus souvent des routeurs WiFi pour la connectivité Internet, souligne Robert Gragg. Tout équipement ouvert au sans fil est susceptible de piratage, rappelle l’analyste. Selon le cabinet Gartner, d’ici 2020, il y aura sur les routes près de 150 millions de véhicules équipées de connexion sans fil, dont 60 à 75% seront capables de consommer, créer et partager des données sur le web.