Juniper France Tech Blog
Juniper France Tech Blog
Avec l’essor des premières voitures connectées en circulation, quel serait le risque qu’elles soient prises en otage ?
06.05.17

speedometer-309118_640.pngLe piratage de voiture n'est pas un phénomène nouveau. En 2015 (et 2016), lors de la conférence Black Hat consacrée à la sécurité de l’information, il a été démontré que le moteur d'une voiture pouvait être coupé en prenant le contrôle d'un logiciel embarqué.

 

Ce qui est nouveau, c'est le nombre croissant de personnes qui achètent et conduisent des voitures connectées, se fiant à leurs logiciels et à leurs fonctions intelligentes. Et cette tendance ne fait qu'augmenter la visibilité de ces produits. Selon les estimations de BusinessInsider.com dans un rapport récent, 380 millions de voitures connectées seront sur les routes d'ici 2020. Ce chiffre ne peut que motiver les hackers à investir le temps et l'énergie nécessaires pour développer des kits exploits.

 

Nous devrions vraisemblablement bientôt assister à l'émergence d'attaques de sécurité ciblées sur les propriétaires de voitures connectées. Les hackers auraient recours à l'ingénierie sociale pour entrer en contact avec le conducteur dans le but de lui refuser l'accès à son véhicule ou de l'empêcher de l'utiliser, voire de prendre le contrôle de systèmes connectés. Cela pourrait se manifester par la désactivation de la navigation ou par des actes plus inquiétants, tels que la prise de contrôle via la technologie « by-wire », impliquant des commandes sans liaison mécanique, qui est utilisée aujourd'hui dans de nombreux véhicules pour le freinage et l'accélération.

 

Imaginez le scénario :

Vous vous rendez en voiture au travail et un message s'affiche sur l'écran de votre véhicule : « Révision prévue dans 30 jours, nous pouvons vous réserver un rendez-vous le xx/xx/xxxx. Cliquez pour accepter ou annuler ». Le message ne vous paraît pas suspicieux, vous sélectionnez « accepter ». Et vous venez juste d'être piraté. Au prochain arrêt de votre voiture, vous ne parviendrez pas à la redémarrer ou bien la climatisation se bloquera sur la température la plus froide. Et les failles ne s'arrêtent pas là. Les hackers pourraient avoir accès à distance aux systèmes embarqués à des fins d'enregistrement, de géolocalisation et potentiellement de chantage. Ce type d'attaque n'est limité que par les fonctionnalités du véhicule et la créativité du hacker.

 

La première attaque de ce genre ne sera certainement pas fortuite. La fenêtre d'opportunité se fermera dès que les constructeurs renforceront la sécurité des véhicules. Néanmoins, cela risque de n’avoir pour effet que de décupler la détermination des hackers. La première attaque ciblera peut-être une célébrité afin d'attirer l'attention. Il s'agira certainement de « l'expérience la plus traumatisante qu'il ou elle aura vécu », mais cela aura surtout pour conséquence de ternir l'image de marque du constructeur, tout en braquant les projecteurs sur la célébrité et le cybercriminel.

 

Jusqu'ici, les attaques sur les voitures connectés étaient limitées et nécessitaient une connexion physique à un port à l'intérieur du véhicule. Le fait que les voitures neuves vendues à l'heure actuelle intègrent la connectivité mobile et l'accès en ligne, augmente la probabilité d'une attaque. De nombreux constructeurs automobiles ont déjà implémenté des pare-feu et continuent d'en mettre au ... pour protéger les systèmes embarqués, mais ce n'est pas encore le cas de tous.

 

Comment les propriétaires de voitures connectées peuvent-ils mieux se protéger ?

  • Une sensibilisation aux questions de sécurité : De manière générale, nous avons pris l’habitude de ne pas répondre aux SMS ou aux e-mails non sollicités, et bien cela doit être similaire dans un véhicule. Si vous recevez un message inattendu par le biais de la technologie de votre voiture connectée, ne l'acceptez pas aveuglément. Au contraire, prenez le temps de le lire et de rechercher les erreurs évidentes de grammaire ou d'orthographe. Si un doute subsiste, demandez l'avis de votre concessionnaire avant d’accepter le message. Misez toujours sur la prudence avant tout.
  • La communication du constructeur : Les conducteurs sont enthousiastes à l'idée des opportunités offertes par les voitures connectées et les constructeurs développent des applications et des API (interfaces pour le développement d'applications personnalisées) afin d'étendre les fonctionnalités. Par conséquent, en cas de problème ou de panne, les constructeurs doivent communiquer rapidement et de manière transparente.

                                                                                 

D'ici 2018, davantage de voitures connectées seront en circulation, en particulier avec l'adoption de l'initiative eCall en Europe et l'étude de la technologie V2V (véhicule à véhicule) par le Département des Transports américain. Il s'agit d'une part d'une avancée pour les conducteurs, mais d’autre part d'un défi pour les constructeurs avec les multiples systèmes d'exploitation et les millions de lignes de code que cela implique. Les cybercriminels ont bien conscience que les conducteurs sont prêts à payer pour que leur voiture puisse continuer à rouler et cela représente un risque à ne pas négliger pour les prochaines années.

 

Mon conseil : réfléchissez avant de cliquer !