La voiture connectée a été hackée et c'est maintenant prouvé.

Sécurité des applications
La voiture connectée a été hackée et c'est maintenant prouvé.

Il y a un an, un étudiant chinois démontrait qu’il pouvait ouvrir les portes d’une Telsa à distance. L’intrusion n’avait qu’un impact limité sur la conduite, mais elle montrait bien les risques inhérents aux voitures connectées. Ce n’était qu’une histoire de temps avant que quelqu’un n’arrive à prendre la main sur la voiture directement.

Eh bien depuis quelques heures, c’est fait : dans un article du New-York Times, nous apprenons que les chercheurs en sécurité Charlie Miller et Chris Valasek ont démontré qu’ils pouvaient contrôler une Jeep Cherokee en prenant la main à distance sur le système de multimédia (UConnect de Fiat-Chrysler). Par ce biais, ils sont ensuite parvenus à commander les fonctions vitales du véhicule (moteur, direction, freins).

Tous les constructeurs, donc, y compris les  « historiques » qui se lancent dans les voitures connectées, souffrent du même problème : ils n’ont pas suffisamment pris en compte  la sécurité informatique dans la chaine de production de la voiture.

Quel impact cela va-t-il avoir sur nos modèles actuels, et sur notre sécurité ?

De nombreuses voitures disposent actuellement d’applications connectées via un smartphone. Posons-nous donc trois questions :

  • Est-ce que ces applications sont « sécurisées » ?
  • Est-ce que les API permettant d’appeler les voitures pour obtenir les informations sont « sécurisées » ?
  • Que peuvent faire ces applications dans des mains malveillantes ? Ont-elles accès aux fonctions critiques du véhicule ?

Dans le cadre de nos recherches, nous avons commencé à analyser différentes applications mobiles du marché, permettant de contrôler plusieurs types de véhicules (majoritairement haut de gamme). Il s’avère qu’en une dizaine de minutes, il est possible d’obtenir des informations sensibles, voire des accès potentiels sur des backoffice desquels on pourrait extraire des clefs d’accès...

A priori donc, la réponse aux deux premières question est claire : ni les applications ni les API n’ont été conçues en prenant en compte la sécurité. La question 3 est un peu plus complexe, mais l’annonce faite par Miller et Valasek laisse penser qu’une segmentation stricte des différents bus de contrôle du véhicule est nécessaire.

On le sait, de multiples processus de qualité et de sécurité « physique » ont été mis en place par l’industrie automobile afin de pouvoir prouver la fiabilité et la sûreté des véhicules. Mais il va désormais falloir formaliser et déployer un équivalent électronique et informatique des « crash tests » si on souhaite se protéger correctement contre les nouvelles menaces inhérentes à la nature connectée des modèles récents.

Doit-on dès lors proposer, comme en Angleterre, un guide de test spécifique pour les voitures connectés/autonomes ? Il est probable qu’il faille aller bien plus loin : les enjeux sont tels qu’une régulation européenne ou mondiale semble inévitable. 

Les mois à venir vont très vraisemblablement nous donner du grain à moudre sur ce sujet, avec l’apparition de nouvelles attaques intéressantes. Le sujet passionne déjà les chercheurs en sécurité, qui commencent d’ailleurs à présenter les résultats de leur recherche lors conférences comme la BlackHat...

En attendant j’invite tous les acteurs de la filière IoT à se poser dès aujourd’hui et de façon très concrète la question de la sécurité. Il est temps d’arrêter de se laisser porter par la vague…

PS : Fiat-Chrysler a rapidement publié un correctif permettant de protéger les propriétaires des véhicules affectés. La difficulté est maintenant de déployer ce correctif ; ce que nous peinons à faire sur nos systèmes logiciels depuis 15 ans pourrait bien s’avérer encore plus épineux sur… une voiture !

Sébastien Gioria, Consultant Sénior en Sécurité des Systèmes d'Informations, Advens