Gérer les risques
Aujourd'hui et demain

Cybersécurité

Le véhicule connecté, nouvelle source de vulnérabilité pour les entreprises

BT lance un service de ''Ethical Hacking'' pour pallier les vulnérabilités informatiques des véhicules reliés au réseau internet.

Les équipements connectés s’imposent dans notre quotidien. Et la voiture n’y fait pas exception. Quelle joie pour les hackers, ces chercheurs indépendants en sécurité informatique, qui y voient un nouveau terrain de jeu (voir encadré). BT, un fournisseur international de solutions et de services de communication (plus de 25 milliards d’euros de chiffre d’affaires en 2014), les met à profit pour se lancer dans la bataille. En effet, le géant des télécoms vient de monter une équipe de  »Ethical Hackers », également connus sous l’appellation  »White Hats » ( »Chapeaux blancs », français). Ces hackers d’un type particulier ont, en effet, juré allégeance aux entreprises. Du coup, le groupe d’experts de BT sera dédié à la problématique des failles au sein des véhicules connectés. « Nous utilisons l’expertise et les connaissances de nos consultants en Ethical Hacking pour identifier ces vulnérabilités avant que d’autres ne le fassent », souligne Hubertus von Roenne, vice-président du département Global Industry Practices chez BT Global Services.
En ligne de mire, les réseaux sans fil tels que le Wifi, la 3G, la 4G ou encore la connexion Bluetooth qui sont de plus en plus présents au sein des habitacles. Ces technologies sont essentiellement mise en place dans le but d’interfacer le véhicule avec le smartphone des usagers, afin de leur apporter de nouvelles fonctionnalités tels que des systèmes prédictifs pour contourner les embouteillages, réduire les émissions de carbone, améliorer les performances de conduite ou encore pour recharger sa batterie plus simplement, en s’approchant de la borne et en initialisant une procédure distante. Car, contrairement aux réseaux informatiques filaires, les ondes peuvent être captées de manière simple et anonyme depuis l’extérieur du véhicule sur des distances qui peuvent aller de quelques cm à… plus de 1 km !
Résultat, si le logiciel interne de la voiture contient une vulnérabilité critique, il devient techniquement possible pour un attaquant de s’y connecter puis de prendre le contrôle à distance du véhicule. Il peut également installer un dispositif d’enregistrement susceptible d’utiliser des équipements anodins comme l’autoradio, le GPS ou encore le système de communication téléphonique interne pour enregistrer des données à l’insu du conducteur.

Guillaume Pierre


Une logique propriétaire qui trouve rapidement ses limites

Depuis quelques années, on voit fleurir des stands dédiés au domaine particulier du piratage des voitures connectées lors des grandes messes dédiés au piratage que sont, par exemple, la Defcon de Las Vegas ou encore les conférences BlackHat.
Concrètement, un véhicule connecté est exposé au vu et au su de tous les visiteurs… qui peuvent, à l’aide de leur terminal, essayer de le pirater. « La seule véritable sécurité des voitures réside dans le schéma de conception des constructeurs », révélait récemment un ingénieur de l’Institut national de recherche en informatique et en automatique (Inria) à nos journalistes. « En pratique, chaque composant connecté du véhicule peut être contrôlé. La seule condition, c’est de connaître le nom de la variable qui la désigne dans le système. Or cette information vitale est soigneusement conservée secrète par les fabricants, qui rechignent même à la partager avec leurs partenaires. »
Oui mais voilà : une fois connecté au bus CAN du véhicule (son réseau électronique interne), quelques tests simples suffisent aux experts pour déduire le nom de ces variables secrètes. Il suffit dès lors de les modifier pour modifier le comportement de l’élément technique qui s’y rattache. Pour transformer, par exemple, le dispositif de freinage en système d’accélération. Et c’est toute la logique de sécurité des constructeurs qui tombe à l’eau…

Commentez

Participez à la discussion