All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Une voiture piratée à distance, un risque bien réel

Par Benoît Gagnon – le dans Actualités
Vous quittez votre véhicule. En bon citoyen que vous êtes, vous verrouillez les portières, et vous vous assurez que rien ne demeure sur les banquettes, question d’éviter les vols bien sûr.

Si ce bon vieux réflexe a été longtemps une façon utile de dissuader les vols de voitures, l’informatique embarquée dans les véhicules pourrait bientôt fortement changer la donne. Pire, elle pourrait engendrer des accidents.

Quand le piratage informatique donne accès à un véhicule

Le 9 février dernier, l’Agence France-Presse publiait un article intitulé Presque toutes les voitures connectées sont vulnérables. Le fond du problème étalé dans celui-ci concerne la présence de plus en plus importante des systèmes informatiques à bord des voitures. La réalité est la suivante : les gens prennent désormais la route dans des «ordinateurs sur roues».

En piratant une voiture pourvue d’un système sans clé, non seulement les criminels peuvent accéder au véhicule sans l’endommager, mais ils peuvent également la faire démarrer.

Or, étant donné que les vulnérabilités sont présentes dans tous les systèmes informatiques, les voitures ne sont évidemment pas épargnées. En fait, comme il est actuellement fastidieux de faire des mises à jour des ordinateurs de bord (à tout le moins, ce n’est pas automatisé), la plupart des gens roulent avec des systèmes informatiques dont les logiciels ont des failles mal colmatées, et qui le resteront probablement pour la durée de vie du véhicule.

Il ne s’en fallait pas plus pour que certains criminels y voient une opportunité. Actuellement, ce sont surtout les systèmes d’accueil sans clé qui sont visés. En réussissant à pirater ces systèmes, non seulement les criminels peuvent accéder au véhicule sans l’endommager, mais ils parviennent également à le faire démarrer seulement en utilisant un gadget informatique. Comme cette technologie intègre plusieurs modèles de voitures, et que les bidules employés par les pirates sont facilement modulables, une grande partie du parc automobile est à risque.

De la science-fiction vous dites? Peut-être faudrait-il le demander aux autorités britanniques actuellement aux prises avec une série de vols de véhicules sans clé. En fait, les statistiques de la police de Londres soutiennent que la moitié des vols de véhicules effectuée dans la ville sont désormais faits «sans utilisation de la force» – autrement dit, en exploitant les systèmes sans clé. Bref, c’est la concrétisation d’un phénomène qui a été annoncé il y a plus de 4 ans déjà.

Même les assureurs mettent les conducteurs à risque

Alors que les compagnies d’assurances s’inquiètent de plus en plus du phénomène du vol de véhicules par piratage informatique, il est étonnant de constater que ces derniers participent de front aux risques présents dans le domaine des technologies. En effet, plusieurs compagnies d’assurances tentent de devenir plus granulaires dans la façon de mesurer les risques présentés par les utilisateurs en leur proposant d’installer des balises de mesures télémétriques dans leurs véhicules. La Société d’assurance automobile du Québec (SAAQ) a d’ailleurs annoncé récemment qu’elle souhaitait se lancer dans un programme du genre.

androidauto_

Le tout peut paraître très intéressant pour l’utilisateur : si vous démontrez à l’assureur que vous avez une conduite irréprochable, vous pourriez vous mériter des réductions significatives sur votre prime d’assurance. Oui, c’est alléchant. Ce l’est toutefois pas mal moins quand on commence à jeter un coup d’œil de plus près à la technologie permettant de «surveiller» votre comportement routier.

Le tout fonctionne généralement avec une balise qui se branche au port OBD II que l’on retrouve dans la majorité des véhicules contemporains. Ce port, qui permet de communiquer directement avec l’ordinateur de bord, sert en temps normal au mécanicien pour effectuer le diagnostic du véhicule. La balise enregistre ainsi les données qu’elle reçoit de l’ordinateur de bord en temps réel, et les transmet par un modem développé par l’entreprise allemande U-Blox.

Le problème est que ces balises ne sont pas sécurisées. C’est du moins la conclusion des travaux menés par Corey Thuen, qui a démontré avec brio comment l’introduction de ce genre de technologies peut constituer des risques importants, surtout dans l’avenir. En somme, les microgiciels intégrés dans ces balises ne sont pas sécurisés, et ils ne sont pas non plus mis à jour. De plus, en passant par cette balise, il serait possible de contrôler l’ensemble des fonctionnalités d’une voiture : accélération, freinage, déploiement des sacs gonflables, etc.

Si pour l’heure il est difficile de penser exploiter le tout par une attaque sans fil, des travaux menés par Ralf-Philipp Weinmann de l’Université du Luxembourg tendent à démontrer que ce genre d’attaque est possible.

En d’autres mots, il faut s’attendre à ce que ces balises soient la cible d’attaques sans fil d’ici quelques mois, avant de provoquer potentiellement des accidents de la route. Merci aux assureurs, spécialistes dans la mesure des risques, d’avoir mesuré si adroitement ces derniers dans le domaine de la voiture connectée.

Que dire de la venue prochaine des véhicules sans pilote? Hé misère…

Continuez votre lecture

Des millions de voitures Volkswagen vulnérables à une attaque sans fil et à distance

Des millions de voitures Volkswagen vulnérables à une attaque sans fil et à distance

Laurent LaSalle -
La Tesla Model S, une voiture pour les geeks?

La Tesla Model S, une voiture pour les geeks?

Steve Rodrigue -
Des voitures volantes pour bientôt?

Des voitures volantes pour bientôt?

Tristan Geoffroy -
Uber déploiera ses voitures autonomes à Pittsburgh d’ici la fin du mois

Uber déploiera ses voitures autonomes à Pittsburgh d’ici la fin du mois

Laurent LaSalle -
Uber déploie sa flotte de voitures autonomes à San Francisco

Uber déploie sa flotte de voitures autonomes à San Francisco

Laurent LaSalle -
Percée juridique importante pour la voiture autonome de Google

Percée juridique importante pour la voiture autonome de Google

Laurent LaSalle -
Automobilistes : Bientôt, vous ne conduirez plus

Automobilistes : Bientôt, vous ne conduirez plus

Steve Rodrigue -
Un whisky créé par une intelligence artificielle

Un whisky créé par une intelligence artificielle

Branchez-vous -
WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

Branchez-vous -
Des voitures autonomes seront à l’essai en Ontario

Des voitures autonomes seront à l’essai en Ontario

Laurent LaSalle -
Fortnite : John Wick s’invite dans le battle royale

Fortnite : John Wick s’invite dans le battle royale

Translatotron : Google lance la traduction directe de voix à voix

Translatotron : Google lance la traduction directe de voix à voix

Branchez-vous -
Uber : un mode silencieux pour faire taire son chauffeur

Uber : un mode silencieux pour faire taire son chauffeur

Les commandes vocales au volant, une importante source de distraction

Les commandes vocales au volant, une importante source de distraction

Laurent LaSalle -
Toronto accueillera la flotte de voitures autonomes d’Uber

Toronto accueillera la flotte de voitures autonomes d’Uber

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.