Par Guillaume Champeau, le 22 Juillet 2015 - Numerama
Des chercheurs en sécurité informatique spécialisés dans l'automobile ont démontré qu'il était possible, dès aujourd'hui et sans effort, de prendre le contrôle de centaines de milliers de véhicules connectés à internet. Une situation aux conséquences potentielles gravissimes.
Avoir un bug ou une faille de sécurité en informatique est quelque chose de courant. C'est souvent gênant, énervant, frustrant, et parfois même dangereux pour la vie privée. Mais c'est rarement dangereux pour la vie tout court. Le développement des voitures connectées à internet et dont des éléments mécaniques sont contrôlés par des des composants électronique change toutefois la donne, comme l'avaient montré des soupçons de meurtre par piratage de voiture en 2013.
Imaginez en effet que vous rouliez tranquillement à 130 km/h sur l'autoroute et que d'un seul coup, les freins lâchent, parce que quelque part dans le monde, quelqu'un cliqué sur un bouton pour désactiver la pédale de frein. Ou que votre moteur s'arrête en pleine route, sans bas côté pour se mettre à l'abri d'un camion qui comprendrait trop tard que vous ne roulez plus. Ce n'est déjà plus de la science-fiction ou un problème de sécurité théorique.
C'est d'ores et déjà, au moment même où vous lisez ces lignes, le risque qu'encourent concrètement les propriétaires de véhicules Chrysler qui utilisent la plateforme UConnect, également utilisée par Fiat, Dodge, ou Jeep. Et c'est certainement un risque qui existe aussi avec de nombreux autres véhicules utilisant d'autres services qui permettent de connecter la voiture à internet pour recevoir des informations, des mises à jour, donner accès à des services en ligne, à un GPS, etc.
Les chercheurs en sécurité informatique Charlie Miller et Chris Valasek ont ainsi démontré auprès de Wired qu'ils avaient réussi à gagner l'accès à distance, par internet, à tous les véhicules Chrysler vendus depuis fin 2013 avec le système UConnect. Tout ce qu'il leur faut connaître est l'adresse IP du véhicule, qu'ils arrivent à obtenir au hasard de scans réalisés sur le réseau. Ils estiment que 471 000 véhicules seraient ainsi vulnérables. Une fois cet accès obtenu, les hackers envoient un firmware modifié au chipset du système de divertissement à bord, qui peut alors envoyer des commandes à travers le bus CAN de la voiture, reconnues par les divers composants de la voiture.
A distance, les hackers peuvent ainsi réaliser des actions anodines comme allumer la radio, augmenter le son, mettre en route la ventilation, klaxonner ou activer les essuis-glaces, mais aussi, ce qui est gravissime, couper le moteur, accélérer, freiner brutalement, ou même tourner le volant (pour l'instant uniquement lorsque la vitesse enclenchée est la marche arrière, qui permet d'activer le système de parking automatique) ou désactiver entièrement la pédale de frein. Ils peuvent aussi obtenir la géolocalisation précise d'un véhicule et suivre tout son parcours.
Les deux chercheurs ont prévu de révéler une partie du code source lors de la prochaine conférence Black Hat de Las Vegas, au mois d'août. Ils ne publieront pas les commandes vitales obtenues après plusieurs mois de reverse-engineering, mais donneront tout de même des clés et un logiciel permettant de s'amuser avec le tableau de bord. Le groupe Fiat Chrysler, pour sa part, a publié un patch à appliquer par clé USB.
Longtemps négligée, la sécurité informatique au coeur des véhicules est désormais prise au sérieux par les constructeurs, et même par des éditeurs anti-virus qui ouvrent des unités dédiées. Tesla, dont les voitures sont extrêmement dépendantes de l'électronique et qui sont connectées en permanence à internet, a également recruté une armée de hackers pour mettre à l'épreuve la sécurité de ses voitures.
Un seul bug critique exploitable à distance, et ce sont potentiellement des dizaines ou des centaines de milliers d'accidents mortels qu'un pirate pourrait déclencher en un clic depuis son fauteuil.
Source : Numerama
* * *
Par Julien L., le 25 juillet 2015 - Numerama
Le constructeur automobile Fiat Chrysler annonce le rappel aux USA de plus de 1,4 million de véhicules afin d'y appliquer un correctif. Cette semaine, des chercheurs ont démontré qu'il est possible de pirater des centaines de milliers de voitures à distance.
La nouvelle a fait grand bruit cette semaine. Au cours d'une démonstration, des experts en sécurité informatique ont prouvé qu'il est possible de prendre le contrôle, à distance, de plusieurs centaines de milliers de véhicules connectés à Internet. Selon eux, au moins 471 000 voitures de marque Chrysler vendues depuis fin 2013 avec le système UConnect sont vulnérables.
À des journalistes, les chercheurs ont montré qu'ils pouvaient réaliser des actions anodines (augmenter le son, activer la ventilation, klaxonner, allumer la radio...) mais aussi avoir un contrôle plus direct sur l'auto (freiner, couper le moteur, accélérer, tourner le volant, neutraliser les freins...).
À la suite de cette présentation, le groupe Fiat Chrysler, qui commercialise les véhicules affectés, a publié un patch à appliquer par clé USB. Mais consciente que ce correctif ne sera sans doute pas déployé dans toutes les automobiles, l'entreprise a changé de tactique : dans un communiqué publié vendredi, elle annonce le rappel de plus de 1,4 million de voitures vendues aux États-Unis.
Le constructeur automobile assure n'avoir aucune indication laissant entendre que les vulnérabilités utilisées par les chercheurs en sécurité informatique dans le cadre de leurs travaux ont pu être exploitées dans le but de provoquer un accident.
Outre la mise à jour du système de bord des voitures, Fiat Chrysler a déployé des mesures complémentaires de sécurité au niveau de son infrastructure afin d'empêcher ce type de manipulation à distance. Ces protections supplémentaires ont été déployées dès cette semaine.
Avec la montée en puissance de l'électronique embarquée dans les véhicules, la sécurité informatique est désormais un enjeu capital. Ainsi, l'on voit apparaître des unités de recherche dédiées au sein des éditeurs d'antivirus pour combattre les logiciels malveillants, tandis que les spécialistes capables de détecter les failles sont de plus en plus recherchés par l'industrie automobile.
Source : Numerama
Aucun commentaire:
Enregistrer un commentaire