Consumer Electronics Show

Des voitures plus connectées et plus piratées

À mesure que les voitures deviennent des ordinateurs comme les autres, la menace pour la sécurité routière évolue : les véhicules nous protègent de mieux en mieux des conducteurs si faillibles, mais le risque de piratage à distance augmente.

Au Consumer Electronics Show (CES) de Las Vegas, GuardKnox propose à ses clients une simulation de conduite de Formule 1. Après un demi-tour de piste, une employée de l’entreprise israélienne de cybersécurité lance une attaque, et le volant ne réagit plus. Le cobaye, impuissant, finit sur le bas-côté.

Ce scénario ne relève pas de la science-fiction. Les voitures comportent des dizaines de processeurs et de plus en plus d’applications sur l’ordinateur de bord. Elles communiquent avec des serveurs (nuage) et bientôt avec les autres véhicules alentours.

Autant de passerelles dont des pirates peuvent se servir, à distance, pour dérober des données ou activer et désactiver les commandes : essuie-glaces, phares, freins, volant, pilotage automatique sur l’autoroute…

« Prenons l’exemple d’un gros camion qui transporte du carburant. Imaginez un criminel qui parvient à en prendre le contrôle. Il peut l’envoyer dans le fossé ou dans un bâtiment. C’est le 11 septembre sur roues. »

— Moshe Shlisel, patron de GuardKnox

D’ici 2023, 775 millions de véhicules privés seront connectés, contre 330 millions en 2018, d’après un rapport de Juniper Research.

« Il y a cinq ans, ce n’était pas un sujet d’inquiétude. Mais aujourd’hui, avec la connectivité, il est devenu nécessaire de penser chaque élément de l’automobile avec la cybersécurité en tête », constate Henry Bzeih, ancien membre du Conseil pour la cybersécurité automobile.

En 2019, la société israélienne Upstream a recensé plus de 150 incidents connus de cybersécurité automobile, deux fois plus qu’en 2018.

Freins télécommandés

Selon la jeune pousse, plus de la moitié ont été causés par des pirates « malveillants », par opposition aux pirates blancs (white hackers), qui cherchent les failles à des fins scientifiques ou pour le compte des entreprises.

La majorité des piratages concernent le verrouillage à distance des voitures. Mais un nombre croissant cible aussi les connexions aux serveurs (infonuagique) ou aux applications mobiles.

En avril dernier à Chicago, une centaine de voitures de luxe ont été volées grâce à un piratage de l’app Car2Go de Daimler.

« Le risque ultime, c’est si quelqu’un parvient, par exemple, à faire freiner un grand nombre de véhicules en même temps », remarque Dan Sahar, vice-président d’Upstream.

« Une fois qu’on a trouvé une faille sur une voiture, on peut l’appliquer à tous les exemplaires du même modèle », ajoute Ralph Echemendia, expert en cybersécurité et pirate « éthique ».

Du piratage ultra-ciblé aux attaques de parcs entiers, « si vous pouvez concevoir une attaque et l’exécuter sur un ordinateur, et que cet ordinateur est attaché à une voiture, tout est possible… »

En 2015, un piratage a marqué les esprits. Deux chercheurs avaient réussi à contrôler à distance les freins, la radio et d’autres fonctions d’une Jeep Cherokee, en passant par sa plateforme d’info-divertissement. Fiat Chrysler avait dû rappeler 1,4 million de voitures et camions.

« Fonctionnellement, les voitures sont similaires. Ce qui les différencie c’est la perception des consommateurs. Les PDG ne veulent généralement pas prendre le risque que l’image de leur marque soit entachée par un incident de cette importance », David Barzilai, cofondateur de Karamba Security, une autre jeune pousse israélienne.

Voiture-téléphone intelligent

La plupart des constructeurs automobiles ont en effet réagi, en offrant des récompenses substantielles aux pirates blancs et en payant des partenaires pour protéger tous les maillons de la chaîne.

Upstream, par exemple, se concentre sur l’infonuagique. 

« Nous n’allons pas dans la voiture, comme ça, nous ne dépendons pas du cycle de production, qui peut prendre des années. »

— Dan Sahar

La société récupère les données des véhicules connectés pour détecter des anomalies en temps réel, et indiquer si des voitures ont été piratées dans le passé ou si elles vont l’être à l’avenir.

Les ingénieurs de GuardKnox s’inspirent eux de leur expérience dans l’armée de l’air israélienne. Ils ont conçu un processeur qui protège tous les autres ordinateurs du véhicule et sert aussi de système d’exploitation sécurisé.

« Quand vous achetez un téléphone intelligent, vous le personnalisez. C’est la direction que prennent les automobiles. […] Les conducteurs vont devenir des abonnés à une plateforme d’applications », détaille Moshe Shlisel.

Pour Karamba Security, la voiture est un objet connecté comme un autre, son logiciel scanne en permanence l’appareil pour prévenir toute infiltration.

Aucun système ne peut garantir une protection à 100 %, et l’autonomie annoncée des véhicules devrait accroître leur vulnérabilité. Le jeu du chat et de la souris risque donc d’être sans issue, comme dans l’informatique traditionnelle.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.