La cybergendarmerie française nous avait déjà fait part de ses inquiétudes en janvier dernier quant à la sécurité des voitures connectées avec une mise en garde du colonel gendarmerie Franck Marescal, en charge de l’observatoire central des systèmes de transports intelligents. C’est au tour du FBI de nous alerter sur la vulnérabilité logicielle des systèmes informatiques embarqués dans les automobiles connectées.
Le FBI et la Highway Traffic Safety Administration américaine ont en effet expliqué que l'utilisation croissante des ordinateurs dans les véhicules augmente les risques de cyber-attaques. Cet avertissement intervient huit mois après la démonstration d'un journaliste du magasin Wired qui avait montré comment une Jeep Cherokee pourrait être contrôlée à distance via Internet. Fiat Chrysler a été obligé de rappeler 1,4 million de véhicules vulnérables pour mettre à jour leur système informatique.
Limiter les ponts entre les systèmes embarqués
Les fabricants travaillent tous sur l’intégration de capacités réseau avancées dans leurs véhicules pour améliorer la navigation pilotée, l’infotainment mais également la gestion de flotte. Mais les experts en sécurité informatique critiquent l'industrie automobile qui ne prend pas les mesures nécessaires pour combler les vulnérabilités logicielles qui pourraient avoir des conséquences mortelles.
Le FBI a indiqué que bien que les fabricants tentent aujourd’hui de limiter les communications entre les différents systèmes embarqués, les liens peuvent encore fournir des « portails au travers desquels des hackers pourraient être en mesure de prendre à distance le contrôle des commandes d’un véhicule et de ses systèmes ». Les dispositifs tiers destinés à être branchés sur le port diagnostic d’un véhicule peuvent également « introduire des vulnérabilités en fournissant une connectivité là où elle n'existait pas auparavant», a déclaré l'agence fédérale.
Attention aux dongles sur le port OBD
Certaines compagnies d'assurance proposent à leurs clients des unités de contrôle télématiques (TCU) qui se branchent sur le port OBD II (On-Board Diagnostics II) afin de transmettre des données sur le type de conduite et profiler les risques encourus.
En août dernier, des chercheurs de l’université de Californie ont montré comment un dongle C4E fabriqué par la société française Mobile Device Ingenierie et installé sur une Corvette à Paris, pouvait compromettre le véhicule avec des actions sur les freins et les essuie-glaces). La société a depuis diffusé des mises à jour de sécurité pour son produit.Le FBI précise que les consommateurs devraient prêter plus attention aux rappels et mises à jour logicielles que les fabricants de véhicules proposent et rester très prudents lors de la connexion de périphériques tiers.