*.*.*.

Voitures électriques et autonomes : ces failles béantes de sécurité qui attirent les hackeurs


Soudainement, les portières se déverrouillent. Les clignotants papillotent. Le klaxon retentit. Personne dans l’habitacle. Une voiture autonome ? Non, juste une bande de hackeurs américains qui s’amuse avec un modèle dernier cri du constructeur automobile sud-coréen Kia. Ces derniers viennent de découvrir une faille béante de sécurité, en exploitant simplement… le numéro de la plaque d’immatriculation du véhicule. Il leur aura fallu à peine 30 secondes pour en prendre le contrôle, à l’aide d’une application sur mesure. Ces exploits ont été mis en ligne sur YouTube, début septembre, et savamment détaillés sur le site d’un des pirates, Sam Curry. Bien entendu, les hackeurs – ici des gentils, “éthiques” – avaient prévenu Kia du problème. Ce n’était pas leur premier fait d’armes. En 2023, Sam Curry et quelques compères avaient ciblé des Honda, Nissan, Mercedes-Benz et autres Hyundai, exhumant là aussi de nombreuses brèches. Sans avoir besoin d’être à proximité de leur cible. “L’attaquant peut se trouver à l’autre bout du monde”, indiquait alors Sam Curry. Merci Internet !

Métamorphosées depuis une dizaine d’années par la présence massive de composants électroniques, de capteurs et de logiciels de divertissement connectés, les voitures sont devenues le terrain de chasse privilégié des hackeurs. George Hotz, premier “pirate” de l’iPhone ou encore de la console de jeux PlayStation 3 – ce qui lui valut de jolis ennuis judiciaires – avait ouvert les hostilités. Il est aujourd’hui à la tête d’une compagnie développant un logiciel de conduite autonome. En 2015, deux autres hackeurs, Charlie Miller et Chris Valasek, réussissaient à arrêter net une Jeep Cherokee depuis l’arrière de l’habitacle – sans toucher aux pédales, bien sûr. L’année suivante, l’ouvrage de Craig Smith, The Car Hacker’s Handbook, livrait un premier “guide” du piratage des voitures modernes.

Depuis, les plus grandes conférences de hackeurs au monde disposent toutes de leur stand bidouillage de ces “ordinateurs sur roues”, à l’instar de la célèbre convention Defcon. Parfois, la quête est particulièrement alléchante : le concours “Pwn2Own” de Tesla, mettant à l’épreuve son dernier modèle, est récompensé de plusieurs centaines de milliers de dollars. Avec la possibilité de repartir au volant du véhicule piraté. Une belle carotte. D’autant qu’en parallèle, la chasse est devenue moins drôle ailleurs : les systèmes informatiques classiques et autres smartphones sont dorénavant bien plus sûrs et difficilement “craquables”.

Mieux que Fast & Furious

En France, Gaël Musquet est une personnalité reconnue de la communauté des hackeurs éthiques français. Il détaille à L’Express les nombreuses vulnérabilités propres aux véhicules actuels : mécaniques, logicielles et électroniques, par le Wi-Fi, le Bluetooth ou encore les ondes radio. “Dans le parc actuel, on ne peut pas garantir que la voiture n’est pas sur écoute aux dépens de la personne à bord”, alerte celui qui dispose à son tableau de chasse de nombreux trophées estampillés Citroën, BYD ou encore Tesla. Parmi les autres scénarios catastrophes redoutés dans l’industrie, un accident grave causé par une attaque brouillant les capteurs du véhicule et sa capacité à freiner ou à accélérer. Ou bien l’accès de personnes malveillantes au système de navigation, forçant une voiture à suivre un nouvel itinéraire inconnu. La liste n’est pas exhaustive. “Dans le cyber automobile, la réalité dépasse parfois la fiction”, conclut Gaël Musquet, en évoquant les fantaisies de la saga Fast & Furious, où des bidouilleurs prennent le contrôle de toute une flotte de quatre roues.

Comment réagissent les constructeurs ? Difficile à dire. Au salon de l’Auto, qui bat son plein actuellement à Paris, pas l’ombre d’une conférence dédiée à la question cyber. Contacté, un grand constructeur français a poliment décliné toute demande d’interview à ce sujet, pour des raisons de confidentialité. A l’exception notable de Tesla, peu d’industriels mettent à l’épreuve leurs véhicules publiquement. Faute de collaboration, Gaël Musquet utilise le plus souvent sa propre Toyota C-HR pour ses démonstrations. Ce qui lui a d’ailleurs coûté plusieurs passages au garage, causés par le “blocage” involontaire de son engin.

Le problème “cyber” est reconnu par tous : plusieurs constructeurs automobiles asiatiques utilisent des logiciels open source éprouvés par des développeurs indépendants, et de nombreuses initiatives ont vu le jour pour créer des standards et améliorer le matériel, notamment par des sous-traitants comme Bosch. De plus, la mise à jour des véhicules à distance, adoptée par l’ensemble du secteur, rend désormais les corrections plus faciles. Néanmoins, il subsiste un manque de “culture cyber” et de “talents spécialisés” dans ce domaine, souffle Gaël Musquet. De manière générale, le secteur de la cybersécurité peine à attirer des recrues.

Pas encore de catastrophe, mais…

“Le sujet de la cyber n’est peut-être pas encore perçu comme prioritaire chez les constructeurs, au milieu de nombreuses autres difficultés, comme les coûts de production, les contraintes environnementales…”, estime quant à lui Renaud Feil, cofondateur de Synacktiv, une entreprise française spécialisée dans les tests d’intrusion et audits de sécurité, qui a remporté à plusieurs reprises le concours de Tesla. La détection d’une grosse vulnérabilité peut, dans certains cas, conduire à un rappel généralisé – et très coûteux – de véhicules. Jeep en a fait l’expérience, avec 1,4 million d’unités rappelées. Enfin, il est vrai qu’aucun scénario catastrophe – comme l’accident de circulation gravissime en raison d’un hack – ne s’est encore produit à travers le monde. Ou du moins, n’a été identifié et médiatisé. Le parc auto est encore majoritairement composé de véhicules low tech, bien moins complexes électroniquement. Il y a pourtant des motifs d’inquiétude concrets, comme les clés de voiture sans contact.

Cette vulnérabilité, pointée il y a plusieurs années, reste à ce jour un gros caillou dans la chaussure des constructeurs. En 2019, l’Adac, une association allemande d’automobilistes, avait testé 500 clés dont les portières se déverrouillent à l’approche du propriétaire – un système très courant désormais. Seules 5 % étaient robustes contre le piratage, notamment par le brouillage des ondes radio. Une sérieuse alerte. Or, cinq ans plus tard, sur près de 700 véhicules équipés du même accessoire, la proportion protégée contre un piratage est passée seulement à… 10 %. Un manque de considération qui interroge. En France, 9 vols sur 10 seraient aujourd’hui opérés de manière électronique selon l’entreprise française Coyote : un moyen rapide, efficace, sans besoin d’abîmer la voiture, et qui offre un meilleur potentiel à la revente pour les voleurs. “Les modèles les plus récents et qui embarquent toujours plus de technologie sont logiquement les plus à risque malgré les systèmes antivol”, poursuit la société, sur son site Internet. Coïncidence ou pas, les vols de voiture en France sont eux-mêmes en hausse : 140 400 en 2023, soit une augmentation de 5 % par rapport à l’année précédente, d’après les chiffres du ministère de l’Intérieur. Un vol toutes les quatre minutes.

Une menace qui risque d’aller crescendo, avec l’avènement du “sans chauffeur”. Alors que les voitures électriques sont déjà dotées de centaines de millions de lignes de code logiciel, les futurs véhicules à conduite autonome devraient en compter dix fois plus, ont déjà prévenu divers spécialistes. De quoi multiplier les brèches. Tesla, qui enjoignait jusqu’ici les hackeurs éthiques à pirater ses systèmes de verrouillage ou ses écrans, compte élargir leur terrain de jeu lors de son prochain Pwn2own, début 2025, Nouvelle cible : son système de pilotage. Renaud Feil et Synacktiv en salivent d’avance. Signe que la question cyber des véhicules monte en puissance, le hackeur Gaël Musquet poursuivra quant à lui ses pérégrinations, à partir du mois de novembre, au sein d’un laboratoire du Cyber Campus. La nouvelle Mecque de la cybersécurité française, située à la Défense, aux portes de Paris. Au grand soulagement de sa Toyota.




Source

..........................%%%...*...........................................$$$$$$$$$$$$$$$$$$$$--------------------.....