Une voiture piratée à distance, un risque bien réel

Publié le 16 février 2015 par _nicolas @BranchezVous
Exclusif

Vous quittez votre véhicule. En bon citoyen que vous êtes, vous verrouillez les portières, et vous vous assurez que rien ne demeure sur les banquettes, question d’éviter les vols bien sûr.

Si ce bon vieux réflexe a été longtemps une façon utile de dissuader les vols de voitures, l’informatique embarquée dans les véhicules pourrait bientôt fortement changer la donne. Pire, elle pourrait engendrer des accidents.

Quand le piratage informatique donne accès à un véhicule

Le 9 février dernier, l’Agence France-Presse publiait un article intitulé Presque toutes les voitures connectées sont vulnérables. Le fond du problème étalé dans celui-ci concerne la présence de plus en plus importante des systèmes informatiques à bord des voitures. La réalité est la suivante : les gens prennent désormais la route dans des «ordinateurs sur roues».

En piratant une voiture pourvue d’un système sans clé, non seulement les criminels peuvent accéder au véhicule sans l’endommager, mais ils peuvent également la faire démarrer.

Or, étant donné que les vulnérabilités sont présentes dans tous les systèmes informatiques, les voitures ne sont évidemment pas épargnées. En fait, comme il est actuellement fastidieux de faire des mises à jour des ordinateurs de bord (à tout le moins, ce n’est pas automatisé), la plupart des gens roulent avec des systèmes informatiques dont les logiciels ont des failles mal colmatées, et qui le resteront probablement pour la durée de vie du véhicule.

Il ne s’en fallait pas plus pour que certains criminels y voient une opportunité. Actuellement, ce sont surtout les systèmes d’accueil sans clé qui sont visés. En réussissant à pirater ces systèmes, non seulement les criminels peuvent accéder au véhicule sans l’endommager, mais ils parviennent également à le faire démarrer seulement en utilisant un gadget informatique. Comme cette technologie intègre plusieurs modèles de voitures, et que les bidules employés par les pirates sont facilement modulables, une grande partie du parc automobile est à risque.

De la science-fiction vous dites? Peut-être faudrait-il le demander aux autorités britanniques actuellement aux prises avec une série de vols de véhicules sans clé. En fait, les statistiques de la police de Londres soutiennent que la moitié des vols de véhicules effectuée dans la ville sont désormais faits «sans utilisation de la force» – autrement dit, en exploitant les systèmes sans clé. Bref, c’est la concrétisation d’un phénomène qui a été annoncé il y a plus de 4 ans déjà.

Même les assureurs mettent les conducteurs à risque

Alors que les compagnies d’assurances s’inquiètent de plus en plus du phénomène du vol de véhicules par piratage informatique, il est étonnant de constater que ces derniers participent de front aux risques présents dans le domaine des technologies. En effet, plusieurs compagnies d’assurances tentent de devenir plus granulaires dans la façon de mesurer les risques présentés par les utilisateurs en leur proposant d’installer des balises de mesures télémétriques dans leurs véhicules. La Société d’assurance automobile du Québec (SAAQ) a d’ailleurs annoncé récemment qu’elle souhaitait se lancer dans un programme du genre.

Le tout peut paraître très intéressant pour l’utilisateur : si vous démontrez à l’assureur que vous avez une conduite irréprochable, vous pourriez vous mériter des réductions significatives sur votre prime d’assurance. Oui, c’est alléchant. Ce l’est toutefois pas mal moins quand on commence à jeter un coup d’œil de plus près à la technologie permettant de «surveiller» votre comportement routier.

Le tout fonctionne généralement avec une balise qui se branche au port OBD II que l’on retrouve dans la majorité des véhicules contemporains. Ce port, qui permet de communiquer directement avec l’ordinateur de bord, sert en temps normal au mécanicien pour effectuer le diagnostic du véhicule. La balise enregistre ainsi les données qu’elle reçoit de l’ordinateur de bord en temps réel, et les transmet par un modem développé par l’entreprise allemande U-Blox.

Le problème est que ces balises ne sont pas sécurisées. C’est du moins la conclusion des travaux menés par Corey Thuen, qui a démontré avec brio comment l’introduction de ce genre de technologies peut constituer des risques importants, surtout dans l’avenir. En somme, les microgiciels intégrés dans ces balises ne sont pas sécurisés, et ils ne sont pas non plus mis à jour. De plus, en passant par cette balise, il serait possible de contrôler l’ensemble des fonctionnalités d’une voiture : accélération, freinage, déploiement des sacs gonflables, etc.

Si pour l’heure il est difficile de penser exploiter le tout par une attaque sans fil, des travaux menés par Ralf-Philipp Weinmann de l’Université du Luxembourg tendent à démontrer que ce genre d’attaque est possible.

En d’autres mots, il faut s’attendre à ce que ces balises soient la cible d’attaques sans fil d’ici quelques mois, avant de provoquer potentiellement des accidents de la route. Merci aux assureurs, spécialistes dans la mesure des risques, d’avoir mesuré si adroitement ces derniers dans le domaine de la voiture connectée.

Que dire de la venue prochaine des véhicules sans pilote? Hé misère…