Une faille de sécurité dans le système Connected Drive de BMW a permis à des chercheurs d'imiter les serveurs du constructeur et d'envoyer des instructions de déverrouillage à distance sur des véhicules de la marque. Le problème a été découvert par l'Allgemeiner Deutscher Automobil-Club (ADAC), une association automobile allemande, et a été testé sur plusieurs modèles BMW. L'attaque profite d'une fonctionnalité qui permet aux conducteurs qui ont perdu ou oublié la clef de leur véhicule de demander un déverrouillage à distance à l'assistance en ligne de BMW.  « Ils ont réussi à désosser certains des logiciels que nous utilisons pour notre télématique», a déclaré Dave Buchko, un porte-parole de BMW. « Ainsi, ils ont été capables d'imiter le serveur BMW. »

Le constructeur automobile a déjà commencé à envoyer des mises à jour logicielles pour les 2,2 millions de voitures équipées du système Connected Drive et indiqué qu'il n'avait pas rencontré de cas dans lesquels la vulnérabilité avait été utilisée pour déverrouiller ou tenter de débloquer ses voitures. Le correctif expédié en urgence ajoute le chiffrement HTTPS pour la connexion entre BMW et ses voitures, et fonctionne sur le réseau cellulaire public. Ce cryptage ne sera pas seulement chargé de protéger le contenu des messages, mais s'assurera également que la voiture n'accepte que les connexions avec un serveur identifié par un certificat de sécurité adéquat.

Les systèmes connectés bientôt dans toutes les voitures

L'incident met en lumière ce qui va devenir un très gros problème pour les constructeurs automobiles dans les années à venir : la découverte et la correction de vulnérabilités logicielles ainsi que la sécurisation des nouvelles technologies intégrées aux voitures récentes. De plus en plus connectées, ces dernières possèdent des logiciels avec des millions de lignes de code. Les mieux équipés - comme Audi ou BMW  - offrent le Bluetooth, le WiFi et des connexions 4G/LTE, alors que des véhicules plus modestes peuvent être liés avec des smartphones et d'autres périphériques et acceptent même des applications tierces. Toutes fournissent désormais des points d'attaque potentiels pour les pirates. Et en octobre prochain, comme nous l'avait rappelé Olivier Pauzet, vice-président marketing chez Sierra Wireless qui fournit des cartes modem 4G/LTE aux équipementiers automobiles, une directive européenne impose l'installation dans les voitures d'un système de service connecté avec alerte d'urgence. En cas de collision, le système mettra automatiquement en relation le véhicule avec un conseiller et si le conducteur ou un passager ont besoin d'aide, ou ne peuvent pas répondre, des services de secours seront envoyés sur les lieux de l'accident.

Les constructeurs proposeront des services supplémentaires (navigation, trafic en temps réel, écoute de musique en ligne, recherche de restaurant...) en option ou en échange d'informations (trajet, nombre d'utilisateurs, entretien...) qui pourront être vendues à des partenaires pour des actions marketing géolocalisées. Une extension de garantie « gratuite » ou une réduction de la prime d'assurance pourrait également être conditionnée au partage de ces données pour surveiller la conduite du propriétaire et identifier les comportements soit disant atypiques. Il s'agit bien ici de faire sauter des clauses contractuelles grâce aux informations remontées par le service connecté. Mieux encore, en cas de traites impayées lors d'un achat ou d'un leasing, le véhicule pourrait être immobilisé avant d'être récupéré par le constructeur ou l'organisme de crédit.

Un problème qui va devenir inquiétant

« Si cette faille ne faisait qu'ouvrir les serrures, ce serait déjà inquiétant, mais elle pourrait également permettre d'envoyer des instructions pour bloquer les freins, ce qui aurait été catastrophique », a déclaré Joshua Corman, de l'association The Cavalry, qui travaille avec les constructeurs automobiles sur les questions de cybersécurité.

L'association, qui a lancé en 2013 les conférences Defcon et BSides, a récemment publié un framework avec des recommandations sur la sécurité informatique à destination des fabricants d'automobiles sur la façon de détecter, contenir, et répondre aux problèmes. The Cavalry invite les constructeurs automobiles à partager leurs documents de références avec les acteurs spécialisés dans la sécurité informatique. Certains chercheurs hésitent en effet à présenter les vulnérabilités découvertes dans les systèmes embarqués de peur d'être accusés de piratage et subir des poursuites, a déclaré M. Corman. Dans ce cas, un problème de sécurité potentiellement grave pourrait rester non corrigé pendant plusieurs années.