Alors que les voitures connectées deviennent monnaie courante, les constructeurs automobiles continuent à ignorer les problèmes de sécurité pendant que les pirates cherchent des solutions pour prendre le contrôle des véhicules à distance. C’est ainsi que deux hackers bien connus ont prouvé qu'ils étaient capables de prendre le contrôle des fonctions vitales d'une voiture - y compris le freinage et l'accélération - à partir d’une simple adresse IP. Comme le raconte Wired, Charlie Miller et Chris Valasek ont pris le contrôle de la Jeep Cherokee conduite par leur journaliste Andy Greenberg.

Installés dans une voiture suiveuse, Charlie Miller et Chris Valasek ont pris le contrôle de la Jeep Cherokee du journaliste de Wired.

Quand le véhicule a été à une quinzaine de kilomètres du journal, les deux hackers ont commencé à activer et modifier le son des haut-parleurs et la climatisation, et ils ont coupé la transmission pendant que le véhicule roulait sur une autoroute encombrée. Charlie Miller et Chris Valasek ont passé trois ans à mettre au point leur procédure de piratage. Mais il leur suffit d’un ordinateur portable connecté à un téléphone mobile Sprint pour établir la connexion (le système Uconnect de Jeep fonctionne sur le réseau Sprint). Les deux hackers et chercheurs estiment que 471 000 voitures sont aujourd’hui en situation de vulnérabilité sur les routes.

Plus de détails à la Black Hat 2015 

Charlie Miller et Chris Valasek ont prévu de divulguer leurs résultats lors de la conférence Black Hat qui se tiendra du 1er au 6 août prochain à Las Vegas, mais ils ne livreront pas le code réécrit du firmware du véhicule. Sans une rétro-ingénierie complexe, des attaquants pourront seulement prendre le contrôle de la climatisation et d'autres fonctions du tableau de bord. Mais les deux hackers ont aussi travaillé avec Chrysler pour mettre au point un correctif qui sortira avant la conférence. Cependant, les propriétaires de Jeep devront faire la mise à jour eux-mêmes via USB ou porter leur véhicule chez un revendeur, si bien qu’il est probable qu’un grand nombre de voitures ne seront pas protégées.

Nous vous recommandons fortement la lecture de Wired pour avoir tous les détails – certains sont effrayants selon lui – de cette histoire. Depuis, Wired a indiqué que les sénateurs américains Ed Markey et Richard Blumenthal travaillaient sur un projet de loi qui imposera une sécurité accrue pour les voitures connectées. Une enquête réalisée précédemment par le sénateur Ed Markey auprès des constructeurs automobiles avait « pointé le manque évident de mesures de sécurité appropriées ». Elle indiquait que « 16 % des constructeurs automobiles avaient engagé des sociétés de sécurité indépendantes pour vérifier leur travail ». Et seuls deux constructeurs automobiles parmi ces 16 % ont déclaré qu'ils surveillaient les commandes malveillantes sur le protocole réseau utilisé par l’exploit ciblant les voitures Jeep.

La sécurité des voitures connectées en question 

La question est d’importance. En effet, tant que les pirates avaient encore besoin d'un accès physique au véhicule, il était facile d’ignorer la question de la sécurité. Mais maintenant que les voitures sont de plus en plus connectées à Internet, aussi bien pour le système de divertissement que pour des fonctions liées à la conduite elle-même, les chercheurs ont montré que ce problème était devenu critique. Les constructeurs automobiles doivent prendre des mesures pour protéger leurs véhicules contre le piratage. Espérons que la législation et cette preuve que les voitures connectées sont à vulnérables, vont les inciter à traiter le problème de façon plus urgente.