La semaine dernière, le magazine Wired publiait un article dans lequel le journaliste Andy Greenberg rapportait l’exploit de Charlie Miller et Chris Valasek, deux pirates qui ont réussi à prendre le contrôle à distance d’un Jeep Cherokee 2014. Bien entendu, l’expérience s’est déroulée dans un environnement contrôlé, et le conducteur du véhicule était parfaitement au courant de ce qui allait lui arriver : c’était justement Greenberg.
Devant les prouesses de Miller et Valasek, qui ont consacré leurs derniers mois à développer un logiciel compromettant sérieusement la sécurité des véhicules de marque Chrysler, le fabricant a rapidement effectué le rappel de 1,4 million de véhicules. En fait, pas un rappel, mais la distribution de clés USB comprenant la fameuse mise à jour.
Aujourd’hui, c’est au tour de GM d’être confronté à une situation très similaire, dans ce qui se présente comme un nouveau scoop pour le Wired. En effet, le pirate Samy Kamkar de son côté est parvenu à bidouiller une petite boîte, qu’il a nommée OwnStar (astucieux jeu de mots… ou pas). Une fois fixée à une voiture équipée du service OnStar, elle permet au pirate qui la contrôle de localiser, déverrouiller et démarrer le véhicule en question.
Pour se faire cependant, la boîte en question – équipée d’un Raspberry Pi et de divers radiotransmetteurs – doit absolument intercepter le signal d’un téléphone muni de l’application mobile OnStar. En réalité, les fonctions mises à la disposition du pirate sont les mêmes que celles de l’application du propriétaire du véhicule. Soulignons toutefois que, selon General Motors, il est impossible pour le pirate d’embrayer la transmission de l’automobile sous son emprise – la clé doit inévitablement être présente pour se faire.
Kamkar souhaite seulement que l’attention des fabricants d’appareils entrant dans la catégorie de l’Internet des objets soit davantage portée sur les risques que posent leurs produits en matière de sécurité.
«La sûreté et la sécurité de nos clients sont primordiales à nos yeux, et nous prenons une approche sous plusieurs angles afin de sécuriser nos véhicules et leurs systèmes de communications, en surveillant et détectant toute menace à leur cybersécurité, en concevant les systèmes de nos véhicules afin qu’ils puissent être mis à jour lorsque de telles menaces potentielles surgissent», a déclaré Renee Rashid-Merem, porte-parole pour GM.
«Les spécialistes en cybersécurité de GM ont examiné la vulnérabilité potentielle récemment identifiée par M. Kamkar, et une solution immédiate est en préparation afin de répondre à cette préoccupation.»
Tout comme c’était le cas pour Charlie Miller et Chris Valasek, Kamkar n’a nullement l’intention d’exploiter cette faille à son propre bénéfice. Il souhaite seulement que l’attention des fabricants d’appareils entrant dans la catégorie de l’Internet des objets soit davantage portée sur les risques que posent leurs produits en matière de sécurité. Bien qu’OwnStar n’ait été testé que sur la Chevrolet Volt 2013 de son ami, l’ensemble des véhicules récents du fabricant américain est susceptible d’être vulnérable à ce type d’attaque.
D’ailleurs, ce n’est pas la première fois qu’il est question de Samir Kamkar sur Branchez-vous. Au début de juin dernier, ce même pirate a fait la démonstration qu’il était possible d’ouvrir le mécanisme de nombreuses portes de garage à l’aide d’un simple jouet électronique modifié.
