Le piratage de voiture à distance est maintenant une réalité | Doug Newcomb

Jusqu'à présent, les démonstrations de piratage de voiture n'avaient lieu que lorsque les chercheurs en sécurité étaient câblés dans le système électrique d'un véhicule. Il n’existait en 2010 qu’un cas réel de piratage de voiture à distance dans le monde réel, mais c’était un travail interne qui incombait à un employé de concessionnaire automobile mécontent, qui avait construit plus de 100 véhicules en utilisant la technologie conçue pour permettre la reprise de possession à distance.

Mais plus tôt cette semaine, deux chercheurs en sécurité qui ont exposé les vulnérabilités des voitures connectées en quelque sorte d'une croisade ont montré de manière dramatique et quelque peu dangereuse comment ils ont pu désactiver à distance les systèmes critiques d'un Jeep Cherokee 2014 alors que le véhicule était sur une autoroute de Saint-Louis.. Charlie Miller, chercheur en sécurité chez Twitter, et Chris Valasek, directeur de la recherche sur la sécurité des véhicules chez IOActive, ont fait la une des journaux il y a deux ans en montrant comment ils pouvaient klaxonner, accrocher les ceintures de sécurité, couper les freins et contrôler le volant de une Ford Escape et une Toyota Prius sur le siège arrière utilisant des ordinateurs portables et une connexion physique aux véhicules.

Leur suivi, une fois de plus avec l'écrivain Andy Greenberg au volant, avait pour but de faire peur aux constructeurs et aux propriétaires de voitures en prouvant que les véhicules peuvent être piratés à distance pour causer des ravages sur l'autoroute. Alors qu’ils étaient assis dans le sous-sol de Miller, ils ont utilisé une faille de sécurité dans le système d’infotainment Uconnect du véhicule pour faire exploser le courant alternatif, syntoniser une station de radio hip-hop et lancer la chaîne stéréo, activer les essuie-glace et le lave-glace. image sarcastique sur l'affichage au tableau de bord d'eux-mêmes dans des costumes de piste assortis.

Pour faire comprendre leur point de vue sur les vulnérabilités des voitures connectées modernes, ils ont désactivé la transmission, ce qui a entraîné une perte d’accélération de la Jeep sur l’autoroute, avec un demi-appui vers le bas. Plus tard, dans un parking, ils ont également désactivé les freins de la Jeep, la faisant glisser dans un fossé avec Greenberg au volant.

Effrayer les constructeurs automobiles en action

Si lire ceci vous fait peur, c'est justement le point des exploits de la paire. Plus spécifiquement, ils espèrent effrayer le public et inciter à leur tour les constructeurs automobiles à agir dans le domaine de la cybersécurité. Leur dernier coup publicitaire est un prélude à la présentation de leurs recherches sur le piratage à distance lors de la conférence sur la sécurité Black Hat à Las Vegas le mois prochain, sans révéler les détails à des pirates malveillants. Miller et Valasek ont ​​également informé Fiat Chrysler Automobiles il y a quelques mois afin que le constructeur puisse émettre un correctif pour tous les systèmes Uconnect concernés - pas moins de 471 000 véhicules Chrysler, Dodge, Jeep et Ram équipés du système à écran tactile U-Connect de 8, 4 pouces.

Miller et Valasek ont ​​relevé le défi et se sont éloignés de leur travail de piratage de voitures, financé par une subvention de la DARPA (Defense Advanced Research Projects), parce que leur démonstration d'il y a deux ans "n'a pas eu l'impact recherché par les fabricants ", A déclaré Miller à Wired . De nombreuses personnes impliquées dans l'industrie automobile (y compris le vôtre) se sont demandé si un piratage de voiture distant pouvait être complété avec succès. Miller et Valasek ont ​​maintenant levé le moindre doute.

Les travaux récents de Miller et Valasek ne sont pas le seul exemple de piratage de voiture à distance. Cette semaine, des chercheurs anglais ont découvert un moyen de pénétrer dans l'électronique d'une voiture grâce à la fonction de radio DAB ( Digital Audio Broadcasting ) couramment utilisée en Europe et en Asie, qui pourrait permettre à un pirate informatique d'envoyer un code malveillant pour s'emparer d'un système d'infodivertissement. La BBC a rapporté qu '"un attaquant pourrait l'utiliser pour contrôler des systèmes plus critiques, notamment la direction et le freinage". Et en février, l'équivalent allemand de l'Auto Club a découvert une faille de sécurité dans certains véhicules BMW qui pourrait permettre aux pirates informatiques de déverrouiller les portes à distance. BMW a immédiatement envoyé une mise à jour logicielle OTA (Over The Air) pour remédier à cette vulnérabilité.

Comme le montre Tesla, les contre-mesures telles que les mises à jour en ligne (OTA) sont de plus en plus courantes. Les constructeurs automobiles tentent de rester en avance sur la menace du piratage automobile en recrutant des experts en sécurité. Des groupes industriels ont également récemment formé un nouveau consortium appelé Centre de conseil Auto Information Sharing (ISAC) pour lutter contre les cybermenaces.

De plus, les pirates informatiques ne sont pas vraiment incités à cibler les voitures, à part faire des farces malveillantes. "Compte tenu de la motivation de la plupart des hackers, les chances de le faire sont très faibles", a observé Damon McCoy, professeur assistant en informatique à l'université George Mason et chercheur en sécurité automobile. Et Valasek a déclaré "qu'il faut beaucoup de temps et d'argent" pour réaliser ce que Miller et lui ont accompli.

La menace de piratage de voiture a été comparée à l'Internet naissant il y a 20 ans, lorsque les ordinateurs ont commencé à être connectés et que les Black Hats ont commencé à exposer et à exploiter les vulnérabilités. Des entreprises comme Microsoft, à leur tour, ont été obligées de passer à la défensive, de publier des correctifs de sécurité et même de récompenser les nerds qui ont découvert une vulnérabilité grâce à des "primes de bugs".

Mais ce n'est pas en 1995 et les pirates informatiques sont plus nombreux et plus sophistiqués, et il pourrait y avoir plus de voitures connectées sur la route maintenant qu'elles étaient connectées à des ordinateurs il y a deux décennies. Le dernier tour de piratage de voiture augmente considérablement les enjeux. "C’est ce qui préoccupe tous ceux qui pensent à la sécurité des voitures depuis des années", a déclaré Miller. "C'est une réalité."