(Las Vegas) À mesure que les voitures deviennent des ordinateurs comme les autres, la menace pour la sécurité routière évolue : les véhicules nous protègent de mieux en mieux des conducteurs si faillibles, mais le risque de piratage à distance augmente.

Au salon des technologies de Las Vegas (CES), GuardKnox propose à ses clients une simulation de conduite de Formule 1. Après un demi-tour de piste, une employée de l’entreprise israélienne de cybersécurité lance une attaque, et le volant ne réagit plus. Le cobaye, impuissant, finit dans le bas-côté.

Ce scénario ne relève pas de la science-fiction. Les voitures comportent des dizaines de processeurs et de plus en plus d’applications sur l’ordinateur de bord. Elles communiquent avec des serveurs infonuagiques et bientôt avec les autres véhicules alentours.  

PHOTO ROBYN BECK, AFP

Le prototype Sony Vision-S est truffé d'infonuagique, et est un fantasme de hacker.

Autant de passerelles dont des hackers peuvent se servir, à distance, pour dérober des données ou activer et désactiver les commandes : essuie-glaces, phares, freins, volant, pilotage automatique sur l’autoroute…  

Le 11 septembre sur 18 roues

« Prenons l’exemple d’un gros camion qui transporte du carburant. Imaginez un criminel qui parvient à en prendre le contrôle. Il peut l’envoyer dans le fossé ou dans un bâtiment. C’est le 11 septembre sur roues », élabore Moshe Shlisel, patron de GuardKnox.

SAISIE D'ÉCRAN YOUTUBE

En 2015, deux chercheurs avaient réussi à contrôler à distance les freins, la radio et d’autres fonctions d’une Jeep Cherokee qu'ils ont envoyée dans le fossé en hackant sa plateforme d’info-divertissement. Fiat Chrysler avait dû rappeler 1,4 million de voitures et camions.

D’ici 2023, 775 millions de véhicules privés seront connectés, contre 330 millions en 2018, d’après un rapport de Juniper Research.

« Il y a 5 ans, ce n’était pas un sujet d’inquiétude. Mais aujourd’hui, avec la connectivité, il est devenu nécessaire de penser chaque élément de l’automobile avec la cybersécurité en tête », constate Henry Bzeih, ancien membre du Conseil pour la Cybersécurité automobile.

150 incidents connus en 2019

En 2019, la société israélienne Upstream a recensé plus de 150 incidents connus de cybersécurité automobile, deux fois plus qu’en 2018.  

Selon la start-up, plus de la moitié ont été causés par des hackers dits « malveillants », par opposition aux « white hackers » (« pirates blancs »), qui cherchent les failles à des fins scientifiques ou pour le compte des entreprises.  

La majorité des piratages concernent le verrouillage à distance des voitures. Mais un nombre croissant cible aussi les connexions aux serveurs (le nuage) ou aux applications mobiles.  

En avril dernier à Chicago, une centaine de voitures de luxe ont été volées grâce à un piratage de l’app Car2Go de Daimler.

Hackers et freins bloqués

« Le risque ultime, c’est si quelqu’un parvient, par exemple, à faire freiner un grand nombre de véhicules en même temps », remarque Dan Sahar, vice-président d’Upstream.  

« Une fois qu’on a trouvé une faille sur une voiture, on peut l’appliquer à tous les exemplaires du même modèle », abonde Ralph Echemendia, expert en cybersécurité et « hacker éthique ».

Du piratage ultra ciblé aux attaques de flottes entières, « si vous pouvez concevoir une attaque et l’exécuter sur un ordinateur, et que cet ordinateur est attaché à une voiture, tout est possible… ».

En 2015, un piratage a marqué les esprits. Deux chercheurs avaient réussi à contrôler à distance les freins, la radio et d’autres fonctions d’une Jeep Cherokee, en passant par sa plateforme d’info-divertissement. Fiat Chrysler avait dû rappeler 1,4 million de voitures et camions.

Votre auto sera comme votre ordi : piratable

« Fonctionnellement les voitures sont similaires. Ce qui les différencie c’est la perception des consommateurs. Les PDG ne veulent généralement pas prendre le risque que l’image de leur marque soit entachée par un incident de cette importance », David Barzilai, cofondateur de Karamba Security, une autre start-up israélienne.

La plupart des constructeurs automobiles ont en effet réagi, en offrant des récompenses substantielles aux hackers « blancs » et en payant des partenaires pour protéger tous les maillons de la chaîne.

Upstream, par exemple, se concentre sur le nuage. « Nous n’allons pas dans la voiture, comme ça nous ne dépendons pas du cycle de production, qui peut prendre des années », explique Dan Sahar.

La société récupère les données des véhicules connectés pour détecter des anomalies en temps réel, et indiquer si des voitures ont été piratées dans le passé ou si elles vont l’être à l’avenir.

Des anciens de l'aviation israélienne

Les ingénieurs de GuardKnox s’inspirent eux de leur expérience dans l’armée de l’air israélienne. Ils ont conçu un processeur qui protège tous les autres ordinateurs du véhicule et sert aussi de système d’exploitation sécurisé.

« Quand vous achetez un smartphone, vous le personnalisez. C’est la direction que prennent les automobiles. […] Les conducteurs vont devenir des abonnés à une plateforme d’applications », détaille Moshe Shlisel.

Pour Karamba Security la voiture est un objet connecté comme un autre-son logiciel scanne en permanence l’appareil pour prévenir toute infiltration.

Aucun système ne peut garantir une protection à 100 %, et l’autonomie annoncée des véhicules devrait accroître leur vulnérabilité. Le jeu du chat et de la souris risque donc d’être sans issue, comme dans l’informatique traditionnelle.