La possibilité de pirater votre voiture ou non dépend presque entièrement de la voiture que vous conduisez. Par exemple, conduire une Honda, c'est sûr qu'il est presque impossible de compromettre votre système informatique. Il y a probablement suffisamment de moyens de pirater l'ordinateur de la Honda Accord One, c'est ainsi qu'une voiture est appelée, quel que soit l'ordinateur dont il s'agit. Mais un agresseur devrait y avoir un accès direct. C'est pourquoi il est à peu près aussi vulnérable qu'une Ford T. Cependant, beaucoup d'entre vous conduisent probablement une voiture plus récente que la mienne, avec toutes sortes de fonctions branchées et prête à l'emploi comme la navigation et la détection de collision. La plupart de ces caractéristiques, sinon toutes, sont contrôlées par des systèmes d'exploitation intégrés ou des machines de contrôle industrielles, et les automobiles informatisées sont commencés tout juste à développer. Il y a quelques années, Vicente Diaz, l'un des chercheurs principaux en sécurité de Kaspersky Lab, a écrit un article sur l'effet potentiel des ordinateurs et des technologies mobiles dans les voitures. À l'époque, les voitures sortaient des usines avec tout un tas d'unités de contrôle électronique, UCE. Et fondamentalement, un tel calculateur n'est rien d'autre qu'un ordinateur qui contrôle un dispositif, un processus ou un ensemble de composants dans votre voiture.
Comment les vulnérabilités peuvent-elles être exploitées ?
Diaz a exprimé ses inquiétudes face au flot de différentes technologies propriétaires installées dans les voitures pour différentes exigences, sans véritables normes entre les différents constructeurs. Chaque constructeur automobile a son propre système d'exploitation et chacun de ces systèmes peut contenir une variété de vulnérabilités de sécurité connues et inconnues. La question est de savoir comment les vulnérabilités des ECU peuvent affecter les systèmes qu'ils contrôlent, et les autres ordinateurs et capteurs avec lesquels ils travaillent, si les vulnérabilités sont exploitées. L'autre question est bien sûr de savoir comment ces vulnérabilités peuvent être exploitées. Comme il est déjà dit, il fut un temps où de tels exploits nécessitaient un accès physique à la voiture. Mais cela est en train de changer, les attaques ciblées et multiplateformes à distance ainsi que les infections involontaires sont de plus en plus possibles, car les constructeurs automobiles cherchent de nouveaux moyens d'intégrer l'accès à l'internet et l'interaction avec les appareils mobiles dans les voitures. Le potentiel de surveillance, de cyber-espionnage et de localisation est évidemment très élevé dans ces voitures en réseau, mais pas beaucoup plus élevé que le potentiel de ces attaques pour l'ordinateur dans votre poche. Diaz souligne que le vol de voiture pourrait devenir un problème dans les voitures informatisées, car un agresseur pourrait compromettre l'ECU d'une voiture et lui donner des instructions pour déverrouiller la voiture et démarrer le moteur. Mais ce qui vous intéresse probablement le plus est de savoir si votre voiture peut être piratée et en prendre le contrôle complet. Il existe une étude souvent citée des universités du Wisconsin et de San Diego où une poignée de chercheurs ont fait exactement cela. Ils voulaient savoir ce qu'ils pouvaient faire après qu'un système de voiture ait été compromis, plutôt que d'expliquer comment un tel système pouvait être compromis. Ils ont découvert beaucoup de composants qu'ils pouvaient manipuler à distance. Les chercheurs ont également réussi à effacer toute trace de leurs activités après un accident causé par eux, c'était il y a presque trois ans.
La sécurité d'un piratage de voiture
Il n'y avait aucun moyen d'agir manuellement sur les composants de la voiture contrôlés à distance par les chercheurs grâce aux calculateurs qu'ils manipulaient. Les chercheurs ont pu mettre en marche les essuie-glaces, ouvrir le coffre, déverrouiller le verrouillage du levier de vitesse, libérant ainsi la voiture du mode stationnement, allumer le klaxon en permanence, éteindre tous les feux supplémentaires, désactiver les serrures des fenêtres et des portes, mettre en marche le système de lave-glace en permanence, ainsi qu'influencer le son du klaxon, la luminosité des lumières intérieures, la luminosité des commandes et des feux de freinage. Ils pourraient aussi augmenter temporairement le régime du moteur, laisser glisser le démarreur, vous connaissez ce bruit quand vous oubliez que la voiture est déjà en marche et que vous essayez de la démarrer et augmenter le régime d'un moteur au point mort. Pire encore, ils pourraient également desserrer les freins ou desserrer tous les freins. Ce qui est moins grave, mais certainement ennuyeux, c'est qu'ils ont également trouvé des moyens de manipuler la radio, l'affichage des informations et le système d'alarme. Les scientifiques ont également pu modifier l'affichage de la vitesse et démarrer ou faire caler le moteur. Encore une fois, il vous est rappelé qu'il s'agit des fonctions qui ne peuvent pas être influencées manuellement. Venez-en aux composants qui peuvent être influencés manuellement, même s'il n'est pas sûr que ce soit facile. Les chercheurs ont pu activer le relais de verrouillage : ouverture et fermeture des portes, éteindre les phares et les essuie-glaces, démarrer le vilebrequin, et désactiver la direction assistée, les cylindres et les freins. La raison pour laquelle certaines de ces fonctions peuvent et ne peuvent pas être influencées manuellement est que certains de ces composants sont contrôlés par différents ordinateurs dans la voiture. En d'autres termes, sans être trop technique, les serrures sont contrôlées simultanément par le centre d'information du conducteur et le module de contrôle du véhicule, l'ordinateur qui contrôle des fonctions telles que les feux. Comme vous pouvez le voir, il y a des choses effrayantes qu'un agresseur peut faire pour pirater votre voiture. Mais il convient de mentionner que les chercheurs ont acheté deux voitures toutes neuves et ont mené les expériences en laboratoire. Ils avaient un accès direct aux voitures et le but de l'expérience n'était pas de compromettre les voitures, mais de savoir quoi faire avec une voiture déjà compromise. Il n'y a pas grand-chose à faire pour se protéger ici, sauf que restez à l'écoute et obtenez les dernières mises à jour que le constructeur publie pour les systèmes embarqués, ECU de votre voiture. Soyez également conscient des rappels liés à ces systèmes et apportez régulièrement la voiture au service après-vente. Et vous pouvez être sûr que le coût de développement d'une explosion de voiture est probablement assez élevé. Les failles de sécurité et les exploits ne tombent pas du ciel. Les attaquants ne se contentent pas de jeter des pâtes sur le mur et d'attendre de voir si elles collent. Trouver les failles de sécurité et mettre au point des moyens de les exploiter nécessite des environnements de test, de nombreux essais et des expériences approfondies.