Ce scénario ne relève pas de la science-fiction. Les voitures comportent des dizaines de processeurs et de plus en plus d’applications sur l’ordinateur de bord.
Elles communiquent avec des serveurs (cloud) et bientôt avec les autres véhicules alentours.
Autant de passerelles dont des hackers peuvent se servir, à distance, pour dérober des données ou activer et désactiver les commandes: essuie-glaces, phares, freins, volant, pilotage automatique sur l’autoroute… « Prenons l’exemple d’un gros camion qui transporte du carburant.
Imaginez un criminel qui parvient à en prendre le contrôle. Il peut l’envoyer dans le fossé ou dans un bâtiment. C’est le 11 septembre sur roues », élabore Moshe Shlisel, patron de GuardKnox.
D’ici 2023, 775 millions de véhicules privés seront connectés, contre 330 millions en 2018, d’après un rapport de Juniper Research. « Il y a 5 ans, ce n’était pas un sujet d’inquiétude.
Mais aujourd’hui, avec la connectivité, il est devenu nécessaire de penser chaque élément de l’automobile avec la cybersécurité en tête », constate Henry Bzeih, ancien membre du Conseil pour la Cybersécurité automobile. En 2019, la société israélienne Upstream a recensé plus de 150 incidents connus de cybersécurité automobile, deux fois plus qu’en 2018.
Selon la start-up, plus de la moitié ont été causés par des hackers dits « malveillants », par opposition aux « white hackers » (« pirates blancs »), qui cherchent les failles à des fins scientifiques ou pour le compte des entreprises. La majorité des piratages concernent le verrouillage à distance des voitures. Mais un nombre croissant cible aussi les connexions aux serveurs (le cloud) ou aux applications mobiles.
En avril dernier à Chicago, une centaine de voitures de luxe ont été volées grâce à un piratage de l’app Car2Go de Daimler.
« Le risque ultime, c’est si quelqu’un parvient, par exemple, à faire freiner un grand nombre de véhicules en même temps », remarque Dan Sahar, vice-président d’Upstream.
« Une fois qu’on a trouvé une faille sur une voiture, on peut l’appliquer à tous les exemplaires du même modèle », abonde Ralph Echemendia, expert en cybersécurité et « hacker éthique ».
Du piratage ultra ciblé aux attaques de flottes entières, « si vous pouvez concevoir une attaque et l’exécuter sur un ordinateur, et que cet ordinateur est attaché à une voiture, tout est possible… « .
En 2015, un piratage a marqué les esprits. Deux chercheurs avaient réussi à contrôler à distance les freins, la radio et d’autres fonctions d’une Jeep Cherokee, en passant par sa plateforme d’info-divertissement. Fiat Chrysler avait dû rappeler 1,4 million de voitures et camions.
« Fonctionnellement les voitures sont similaires. Ce qui les différencie c’est la perception des consommateurs.
Les PDG ne veulent généralement pas prendre le risque que l’image de leur marque soit entachée par un incident de cette importance », David Barzilai, cofondateur de Karamba Security, une autre start-up israélienne.
La plupart des constructeurs automobiles ont en effet réagi, en offrant des récompenses substantielles aux hackers « blancs » et en payant des partenaires pour protéger tous les maillons de la chaîne.
Upstream, par exemple, se concentre sur le cloud. « Nous n’allons pas dans la voiture, comme ça nous ne dépendons pas du cycle de production, qui peut prendre des années », explique Dan Sahar.
La société récupère les données des véhicules connectés pour détecter des anomalies en temps réel, et indiquer si des voitures ont été piratées dans le passé ou si elles vont l’être à l’avenir.
Les ingénieurs de GuardKnox s’inspirent eux de leur expérience dans l’armée de l’air israélienne.
Ils ont conçu un processeur qui protège tous les autres ordinateurs du véhicule et sert aussi de système d’exploitation sécurisé. « Quand vous achetez un smartphone, vous le personnalisez.
C’est la direction que prennent les automobiles. (…) Les conducteurs vont devenir des abonnés à une plateforme d’applications », détaille Moshe Shlisel.
Pour Karamba Security la voiture est un objet connecté comme un autre – son logiciel scanne en permanence l’appareil pour prévenir toute infiltration. Aucun système ne peut garantir une protection à 100%, et l’autonomie annoncée des véhicules devrait accroître leur vulnérabilité.
Le jeu du chat et de la sourir risque donc d’être sans issue, comme dans l’informatique traditionnelle.
Source Capital