Un sénateur américain livre un rapport sur la sécurité des voitures connectées. Le constat y est sans appel : les constructeurs sont inconscients des dangers en terme de piratage des données ou de prise de contrôle d’un véhicule.
À l’heure où Apple se lance dans la voiture connectée, le sénateur du Massachusetts, Edward J. Markey et son équipe publient un rapport sur la sécurité de ce nouveau type de véhicule. Le responsable démocrate spécialisé dans les questions d’écologie et de protection des données a interrogé seize entreprises parmi lesquelles BMW, Nissan, ou Ford. D’autres ont simplement refusé de répondre démontrant à quel point ce type de sujet peut se révéler extrêmement sensible. C’est notamment le cas de Tesla, pourtant en pointe dans le domaine. Et les résultats obtenus auprès des répondants montrent clairement un manque de discernement de la part des constructeurs quant aux risques de piratage des voitures connectées. “Les constructeurs automobiles sont nouveaux dans le monde des logiciels et manquent d’expérience dans les programmes malveillants et le piratage.” explique ainsi à Forbes le spécialiste des cyberattaques Eugene Kraspersky. Car la masse d’informations recueillies par ces constructeurs se révèle considérable, si l’on en croit l’étude du sénateur américain. De l’historique de déplacement à la vitesse en passant par l’utilisation de la ceinture, les fabricants peuvent stocker un nombre important d’informations quelques fois sensibles.
Des données à peine, voire pas du tout protégée
Pour protéger ces informations d’un éventuel hacking ou de fuites, les actions des constructeurs sont pour le moment insuffisantes d’après Ed Markey. La plupart du temps, les données ne sont pas simplement stockées dans le véhicule mais transmises à des data centers, parfois contrôlés par des tiers. Lorsque les informations sont enregistrées dans la voiture elle-même, les constructeurs avouent ne pas avoir mis en place de système de protection. Quand elles sont transmises à des data centers en revanche, seuls six constructeurs ont accepté de répondre à la question des actions menées pour protéger le transfert évoquant des “données cryptées” ou des mots de passe sans plus de précisions. “Les airbags et les ceintures assurent la sécurité physique du conducteur mais il devient nécessaire pour les constructeurs d’assurer également la sécurité des données et de la vie privée dans ce nouvel âge sans-fil.” expliquait le sénateur dès 2013.
Le danger sans fil : des véhicules contrôlés par les hackers
Il y a deux ans en effet une étude pointait déjà les problèmes liés aux voitures connectées. Les professeurs Charlie Miller & Chris Valasek de la Defense Advanced Research Projects Agency (DARPA, “Agence pour les projets de recherche avancée de défense”) expliquaient avoir réussi à pirater plusieurs modèles de voitures connectées avec un seul ordinateur et un câble. Ils étaient alors parvenus à faire accélérer le véhicule, à le faire tourner, klaxonner, à allumer les phares et même à modifier l’affichage des différentes jauges de la voiture. Une méthode qui peut également être effectuée sans fil via une connexion Bluetooth, une application infectée ou un CD malveillant selon les deux chercheurs. Et lorsque Ed Markey interroge les entreprises automobiles sur ce point spécifique, certaines ne comprennent pas, certaines ne répondent pas, d’autres enfin fournissent des explications plutôt vagues évoquant des systèmes de cryptage notamment. Plus surprenant encore, seuls deux fabricants disent être en mesure de détecter une infiltration en temps réel. Un problème que voulait résoudre Cisco il y a peu. Quoiqu’il en soit, il est temps pour les constructeurs de se pencher sur la question s’ils ne veulent pas détériorer leur relation avec leurs clients.