Computest, une firme néerlandaise spécialisée dans la sécurité informatique, a ainsi récemment publié un rapport   décrivant de manière précise le déroulement de l'attaque qu'elle a menée à distance en vue de s'introduire dans le système d'info-divertissement d'une Golf GTE et d'une Audi A3 Sportback e-tron par le biais de leur connexion Wi-Fi. Détaillant également ses implications. Parmi elles, une question pourrait faire froid dans le dos. « Pouvons -nous influencer le comportement du conducteur ou les systèmes critiques de sécurité d'un véhicule via une attaque menée par le vecteur d'internet » s'interrogent les chercheurs.

Certes, pour le moment, il ne s'agit que d'intrusions réalisées par des chercheurs et experts du domaine dans un cadre bien précis et sans aucune pensée malveillante. Reste que cela prouve que la brèche peut être ouverte, laissant entrevoir une faille qui pourrait bien être exploitée pour des usages beaucoup plus inquiétants. Une menace qui pourrait prendre une importance croissante compte-tenu du développement des véhicules autonomes et des systèmes d'info-divertissement embarqués (IVI). Les constructeurs se doivent désormais de faire face à un nouveau défi face à leur nouveau métier de fournisseur de services mobiles. Ajoutant ainsi une dimension sécuritaire à leur stratégie commerciale et leur politique industrielle.

Une large et inquiétante intrusion

Après s'être introduit dans le système, les chercheurs ont pu prendre le contrôle du système mains libres de la voiture, devenant ainsi capables de prendre connaissance des conversations et d'au répertoire téléphonique ainsi qu'à l'historique des appels.

Selon Daan Keuper et Thijs Alkemade, les auteurs du rapport, il est également possible d'accéder aux données du système de navigation. Permettant ainsi de connaître les lieux visités par le véhicule tout en offrant la possibilité de le suivre en temps réel.

Beaucoup plus inquiétant : les chercheurs ont découvert que le système IVI était indirectement connecté aux freins et à l'accélérateur de la voiture … De quoi faire frissonner alors que plusieurs attentats terroristes ont été perpétrés par des véhicules fauchant la foule, comme à Nice ou à Londres.

Informé de la faille, Volkswagen ne l'a que partiellement corrigée

A noter que ces expérimentations ont été menées en juillet 2017. Computest en a immédiatement informé le groupe Volkswagen, lequel a par la suite appliqué des correctifs de sécurité.

Mais selon les chercheurs, ces mises à jour auraient été uniquement intégrées dans les systèmes embarqués des modèles en cours production, et non pas sur le parc déjà commercialisé.

Le système Harman concerné ne possédant pas de dispositif de mise à jour direct (over the air), les véhicules déjà en circulation qui en sont équipées n'ont a priori pas bénéficié du correctif approprié. Volkswagen n'a pas à l'heure actuelle communiqué à ce sujet.

Sources : Computest

Crédit Illustration : Computest