On ne vous parlera pas ici des muscles de Vin Diesel et des nouveaux bolides rutilants de "Fast and Furious 8". Mais le film nous a fait nous interroger sur une question très sérieuse : le risque d’un piratage massif de voitures connectées.
En 1997 déjà, dans le film "Demain ne meurt jamais", le James Bond incarné par Pierce Brosnan prenait le contrôle d’une BMW 750i avec un bon vieux téléphone portable Ericsson. Alors il était temps que la franchise "Fast and Furious", qui voue un culte aux voitures depuis plus de 15 ans, s’y mette aussi.
Dans le nouveau volet "Fast and Furious 8", au cinéma le 12 avril, il y a comme d’habitude des tas de voitures vrombissantes et de courses-poursuites à grande vitesse, mais les bolides n’ont jamais été autant équipés de dispositifs de tracking, de diversions intelligentes, d’armes high-tech et d’écrans d’ordinateurs, souligne notre collègue Josh Dickley sur Mashable.
Une cyberpirate sur le circuit "Fast and Furious"
Pièce maîtresse du film : une scène impressionnante où la grande méchante Cipher (Charlize Theron) fait équipe avec Dominic Toretto (Vin Diesel) pour prendre le contrôle à distance de centaines de voitures dans les rues et les parkings de New York. Déverrouillage des portières, démarrage, accélérateur et frein, direction des roues… Rien ne résiste à Cipher, qui commande tout ça d’une seule main depuis le clavier de son laptop et déclenche ainsi des accidents par dizaines
Alors que 420 millions de véhicules connectés devraient circuler sur les routes du monde en 2018, risque-t-on un jour d’assister à la même scène dans notre monde bien réel ?
Des exemples inquiétants d'attaques
Les exemples de piratage à distance de voitures connectées se comptent pour l’instant sur les doigts d’une main. Mais ils sont bien là. En 2011, une équipe de chercheurs des universités de Washington et de Californie (à San Diego) avait réussi à entrer dans le système d’une berline de gamme moyenne – sans citer la marque ni le modèle – en installant une application malicieuse sur le smartphone connecté au véhicule. Ils avaient rendu dans la foulée leur rapport au Transportation Research Board de l’Académie nationale des sciences pour sensibiliser les constructeurs automobiles à ces risques.
En 2015, l’agence DARPA du département de la Défense des États-Unis montrait lors d’une séquence vidéo diffusée dans l’émission de CBS 60 Minutes qu’elle était capable de prendre à distance le contrôle du système connecté OnStar d’une Chevrolet Impala de General Motors. En reprogrammant le système embarqué de la voiture, la DARPA parvenait à faire fonctionner les essuie-glaces, donner un coup de klaxon et même contrôler les freins et l’accélérateur.
"Des failles de sécurité dans presque 100 % des véhicules connectés du marché en 2015"
Le lendemain de la diffusion, le sénateur démocrate américain Ed Markey publiait le rapport "Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk" où il affirmait qu’il y avait des failles de sécurité dans "presque 100 % des véhicules connectés" du marché. Lorsqu’ils ne passent pas par des virus installés sur les smartphones connectés aux voitures, les pirates peuvent ainsi entrer dans le système via Bluetooth, via les systèmes d’assistance à distance ou encore via un Wi-Fi vérolé. Mais le rapport alarmant du sénateur Markey n’aura pas suffisamment fait réagir les constructeurs automobiles puisque d’autres exemples de piratage ont suivi.
Une Jeep Cherokee dans le fossé
En juillet 2015, le journaliste Andy Greenberg du site Wired se prêtait à un jeu dangereux avec les chercheurs Charlie Miller et Chris Valasek, les Blake & Mortimer de la cybersécurité des voitures. Alors qu’il roulait à bord d’une Jeep Cherokee à 70 km/h sur une route proche de Saint Louis, dans le Missouri, le journaliste a vu, sans qu’il ne touche au tableau de bord, la soufflerie passer en mode froid, la radio changer de station et les essuie-glaces s’agiter. Puis les visages de Charlie Miller et Chris Valasek se sont affichés sur l’écran central de la voiture. À plus de 16 km de là, dans la cave de Charlie Miller, les deux hommes avaient pris le contrôle de la Jeep depuis leur ordinateur portable. Et ils sont allés jusqu’à couper les freins d'Andy Greenberg, impuissant au volant de son SUV qui a fini dans le fossé (à vitesse réduite, on vous rassure).
Cette fois-ci, les hackers avaient réussi à prendre le contrôle de l’unité de contrôle électronique (ECU) en passant par le système multimédia Uconnect qui équipe les voitures de la flotte Chrysler (Jeep, Fiat, Alfa Romeo, Lancia). Quelques jours après la publication de ces révélations, Chrysler rappelait 1,4 millions de véhicules.
19 septembre 2016. Après plusieurs mois de recherche et après avoir pris le soin de prévenir Tesla de leurs découvertes en amont, les chercheurs chinois du Keen Security Lab ont publié une vidéo où ils parviennent à pirater un Model S aussi bien en mode parking qu’en circulation. Et notamment à freiner (à faible vitesse toujours) alors que le conducteur n’a plus les pieds sur les pédales. "Toutes ces attaques ont été réalisées à distance et sans modifier physiquement la voiture", assurent les chercheurs.
Si Telsa assurait que "le risque était très faible" pour ses clients puisque, pour que le hacking fonctionne, il fallait que "le navigateur Web de la voiture soit utilisé, qui plus est à proximité d’un hotspot Wi-Fi malicieux", la firme d’Elon Musk avait tout de même rapidement déployé une mise à jour de son logiciel à distance.
Enfin, dans son tout récent rapport Vault 7, WikiLeaks révèle que la CIA aussi aurait fait des recherches pour réussir à prendre la main sur les systèmes de contrôle des voitures à distance. Si "le but d’un tel contrôle n’est pas spécifié", WikiLeaks avance que l’Agence centrale du renseignement (CIA) pourrait ainsi "commettre des assassinats quasi indétectables"...
Programmes "bug bounty" et mesures de cybersécurité
Si tous les auteurs de ces piratages ont certes souvent mis de long mois de recherche pour réussir à entrer dans le système embarqué des Jeep, Tesla et autres Chevrolet, ils y sont bel et bien parvenus. Charlie Miller et Chris Valasek assurent même qu’ils pourraient prendre le contrôle de milliers de véhicules, et ce depuis l’autre bout du pays. Si eux revendiquent ne faire ces expériences que dans le but de "construire des véhicules plus sûrs dans le futur et protéger les conducteurs d’une cyber attaque", des pirates mal intentionnés pourraient avoir un tout autre dessein. Alors la scène catastrophique menée par Charlize Theron dans "Fast and Furious 8" n’est peut-être pas très loin.
Bien sûr, les constructeurs automobiles font tout pour que cela n’arrive pas. À chaque fois que des chercheurs décèlent une faille, des mises à jour sont rapidement développées. Chez Tesla, par exemple, le développement de la sécurité est intégré dès la construction par des ingénieurs familiarisés aux enjeux de la cybersécurité, a assuré à Mashable FR une source interne à l'entreprise. Mais d’autres constructeurs font appel à des firmes de sécurité indépendantes pour tester leurs systèmes embarqués. Enfin, tous ou presque ont mis en place un programme "bug bounty" qui offre une rémunération à celui ou celle qui rapporterait les détails d’une nouvelle faille de cybersécurité.
Quelque chose à ajouter ? Dites-le en commentaire.