Pour la première fois dans l'histoire de l'
automobile, des chercheurs ont rapporté
une vulnérabilité liée à la prise de contrôle à distance d'une voiture connectée.
Dans le cadre d'une
expérience, deux chercheurs (Charlie Miller et Chris Valasek)
ont pris le contrôle à distance d'une Jeep Cherokee. En piratant le
système de divertissement Fiat Chrysler Uconnect, ils ont eu accès aux
paramètres du véhicule et ont pu
prendre le contrôle à distance du véhicule avec un ordinateur portable connecté à internet.
Après avoir
désactivé les commandes du conducteur, qui ne pouvait plus commander les essuie-glaces, le système de climatisation, la radio et les vitres latérales, les deux chercheurs ont pris le contrôle total du véhicule en lieu et place de son conducteur (le journaliste Andy Greenberg) devenu totalement impuissant devant le volant.
Les deux chercheurs
contrôlent le volant, l'accélérateur et les freins de la
Jeep Cherokee d'un portable connecté. Le véhicule hacké termine sa route dans un fossé. A distance, le moteur est
coupé.
Les deux chercheurs ont démontré ce que des hackers mal intentionnés auraient pu faire en prenant le contrôle à distance d'une Jeep Cherokee.
La vidéo de la prise de contrôle est diffusée sur le site Wired.
Fiat Chrysler, informé de l'expérience par Wired, a développé une mise à jour de son système UConnect pour correction immédiate du logiciel via une clé USB.
Ces dernières années, les
voitures sont de plus en plus
connectées sur l'environnement informatique.
Les derniers véhicules disposent de multiples connexions Bluetooth, WiFi, smartphones, etc. Les systèmes de navigation, les systèmes d'informations et de divertissement et la radio numérique sont également ouverts sur l'extérieur.
Autant de
portes d'entrée potentielles dans les systèmes d'informations des véhicules connectés pour des pirates informatiques.
Les chercheurs de Kaspersky Lab analysent la cause probable de la faille informatique et donnent leurs recommandations pour éviter que de tels incidents se reproduisent.
Sergey Lozhkin, chercheur en sécurité au sein de l'équipe de recherche et d'analyse (GReAT) du spécialiste en sécurité Kaspersky Lab, revient sur cette évènement :
« L'attaque à distance a été effectuée sur l'ordinateur de bord d'un Jeep Cherokee. Charlie Miller et Chris Valasek auraient trouvé une vulnérabilité dans le système de divertissement. Ainsi, grâce à cette vulnérabilité, ils ont non seulement eu accès à des paramètres non critiques, mais ont également pu prendre le contrôle de la voiture. Dans un premier temps le conducteur de la voiture ne pouvait plus contrôler les essuie-glaces, le système de climatisation, la radio et les vitres latérales. Puis la voiture est passée sous le contrôle des chercheurs, en lieu et place du propriétaire.
Apparemment, la vulnérabilité a été trouvée dans le système embarqué Uconnect, système qui fonctionne via l'opérateur de téléphonie mobile Sprint afin de communiquer avec le monde extérieur de Fiat Chrysler Automobiles (FAC). Si les rapports sont corrects, l'attaque prouve qu'il suffit de connaître l'adresse IP externe de la cible, afin de réécrire le code de l'ordinateur de bord de la voiture et ainsi en prendre le contrôle à distance. Des vulnérabilités peuvent être trouvées partout où il y a un système d'exploitation et des applications installées. Cependant, afin de protéger les voitures, les fabricants devraient penser à leur sécurité de la même manière que nous devrions tous aborder la sécurité des réseaux d'entreprise ou celles des ordinateurs.
Chez Kaspersky Lab, nous pensons que pour éviter de tels incidents, les fabricants devraient construire une architecture intelligente dédiée aux voitures, en ayant en tête deux principes fondamentaux : l'isolement et les communications contrôlées. L'isolement signifie que deux systèmes séparés ne peuvent pas s'influencer l'un l'autre. Ainsi, le système de divertissement ne devrait pas pouvoir influer sur le système de contrôle de la manière dont il l'a fait ici avec le Cherokee. Des communications contrôlées signifient quant à elles que la cryptographie et l'authentification de la transmission et l'acceptation de l'information (à partir de / jusqu'à la voiture) devraient être pleinement mis en œuvre. En étudiant les résultats de l'expérience à laquelle nous avons assisté hier, il est clair que les algorithmes d'authentification étaient faibles / vulnérables, ou que la cryptographie n'a pas été correctement mis en œuvre ici.
Le correctif de ce problème a été publié la semaine dernière. Toutefois, si vous conduisez une voiture FCA, nous vous recommandons de contacter votre revendeur afin de lui demander qu'il vous installe toutes les mises à jour nécessaires.»
Sources: Wired, Kaspersky Lab
Photo: Wired
Newsletter