Innovations technologiques
Voitures connectées: sommes-nous en danger?
Sécurité
L’industrie automobile vient de connaître un mois difficile, alors que plusieurs modèles d’automobiles connectées ont été attaqués par des pirates qui souhaitaient démontrer à quel point ces voitures reliées à l’Internet ne sont pas sécuritaires. Portrait d’une situation loin d’être rassurante.
Même si la sécurité informatique et les voitures connectées intéressent les chercheurs et les pirates depuis quelques années maintenant, c’est surtout à la fin juillet qu’une véritable alerte a été lancée dans la population, par un journaliste du magazine Wired, qui a relaté son expérience (volontaire) dans un Jeep Cherooke attaqué à distance par deux pirates.
Le reportage fait froid dans le dos, alors que deux hackers, bien assis dans leur salon, ont été capables non seulement de monter le son de la radio et de changer la climatisation du véhicule qui roulait à 112 km/h, mais surtout de couper ses freins et de désactiver sa pédale d’accélération.
Après la publication du reportage, Chrysler a d’ailleurs été contraint de rappeler 1,4 million de véhicules pouvant être affectés par la manœuvre. Chrysler est toutefois loin d’être le seul fabricant à blâmer.
À l’occasion de la conférence sur le piratage Def Con tenue au début août https://www.defcon.org, des failles ont été démontrées notamment sur des véhicules GM équipés du système Onstar et sur le Model S de Tesla. Cette faille, qui nécessitait un accès physique au véhicule, a également été corrigée depuis.
De gentils pirates
Heureusement pour l’industrie automobile, toutes ces failles ont été dévoilées au cours des dernières semaines par des hackers éthiques, dont le but est de forcer l’industrie à améliorer la sécurité derrière ses systèmes connectés.
Même si les deux hackers derrière le piratage du Jeep Cherooke ont dévoilé plus d’informations publiquement que Chrystler ne l’aurait souhaité, ils ont collaboré pendant des mois avec le fabricant automobile avant d’annoncer les fruits de leurs recherches.
Entre les mains d’individus malintentionnés, les failles découvertes auraient carrément pu être catastrophiques.
Sommes-nous en danger?
Attaquer une voiture connectée est une tâche complexe, qui a demandé trois ans de travail aux deux pirates derrière la faille du Jeep Cherooke, même si le duo est composé d’un directeur responsable de la sécurité automobile dans une firme de consultants et d’un chercheur en sécurité informatique chez Twitter, anciennement hacker pour la NSA.
S’il n’est donc pas nécessaire de paniquer dès que l’on pose les pieds dans un véhicule doté d’un système de divertissement connecté, les dernières semaines ont démontré que les risques sont quand même bien réels, et ce, non pas à long terme, mais en ce moment.
Surtout que deux sénateurs américains ont dressé un portrait peu reluisant de l’état de la sécurité informatique dans l’industrie automobile en général en février dernier, qui tend à indiquer que les lacunes sont généralisées chez les fabricants.
Un projet de loi déposé aux États-Unis
Pour améliorer la situation, ces mêmes sénateurs, Ed Markey et Richard Blumenthal, ont déposé récemment un projet de loi aux États-Unis, le Security and Privacy in Your Car Act (la loi sur la sécurité et vie privée dans votre voiture), qui vise à forcer les fabricants américains à implanter certains standards de sécurité dans toutes les voitures fabriquées aux États-Unis à compter de 2017.
La loi forcerait notamment les fabricants à équiper leurs voitures de moyens efficaces pour se protéger contre des attaques, à isoler le réseau informatique interne du véhicule et à faire tester leurs automobiles par des tiers.
Les révélations des dernières semaines pourraient toutefois forcer la main aux fabricants automobiles, qui n’auront peut-être pas le luxe d’attendre jusqu’en 2017 pour améliorer la sécurité de leurs véhicules.