Computest, une firme néerlandaise spécialisée dans la sécurité informatique, a ainsi récemment publié un rapport décrivant de manière précise le déroulement de l’attaque qu’elle a menée à distance en vue de s’introduire dans le système d’info-divertissement d’une Golf GTE et d’une Audi A3 Sportback e-tron par le biais de leur connexion Wi-Fi. Détaillant également ses implications. Parmi elles, une question pourrait faire froid dans le dos. « Pouvons -nous influencer le comportement du conducteur ou les systèmes critiques de sécurité d’un véhicule via une attaque menée par le vecteur d’internet » s’interrogent les chercheurs.
Certes, pour le moment, il ne s’agit que d’intrusions réalisées par des chercheurs et experts du domaine dans un cadre bien précis et sans aucune pensée malveillante. Reste que cela prouve que la brèche peut être ouverte, laissant entrevoir une faille qui pourrait bien être exploitée pour des usages beaucoup plus inquiétants. Une menace qui pourrait prendre une importance croissante compte-tenu du développement des véhicules autonomes et des systèmes d’info-divertissement embarqués (IVI). Les constructeurs se doivent désormais de faire face à un nouveau défi face à leur nouveau métier de fournisseur de services mobiles. Ajoutant ainsi une dimension sécuritaire à leur stratégie commerciale et leur politique industrielle.
Une large et inquiétante intrusion
Après s’être introduit dans le système, les chercheurs ont pu prendre le contrôle du système mains libres de la voiture, devenant ainsi capables de prendre connaissance des conversations et d’au répertoire téléphonique ainsi qu’à l’historique des appels.
Selon Daan Keuper et Thijs Alkemade, les auteurs du rapport, il est également possible d’accéder aux données du système de navigation. Permettant ainsi de connaître les lieux visités par le véhicule tout en offrant la possibilité de le suivre en temps réel.
Beaucoup plus inquiétant : les chercheurs ont découvert que le système IVI était indirectement connecté aux freins et à l’accélérateur de la voiture … De quoi faire frissonner alors que plusieurs attentats terroristes ont été perpétrés par des véhicules fauchant la foule, comme à Nice ou à Londres.
Informé de la faille, Volkswagen ne l’a que partiellement corrigée
A noter que ces expérimentations ont été menées en juillet 2017. Computest en a immédiatement informé le groupe Volkswagen, lequel a par la suite appliqué des correctifs de sécurité.
Mais selon les chercheurs, ces mises à jour auraient été uniquement intégrées dans les systèmes embarqués des modèles en cours production, et non pas sur le parc déjà commercialisé.
Le système Harman concerné ne possédant pas de dispositif de mise à jour direct (over the air), les véhicules déjà en circulation qui en sont équipées n’ont a priori pas bénéficié du correctif approprié. Volkswagen n’a pas à l’heure actuelle communiqué à ce sujet.
Sources : Computest
Crédit Illustration : Computest
Problèmes à venir pour la majorité des constructeurs. Ils ne sont pas fabriquants de software. Seuls les Apple Google Microsoft peuvent leur venir en aide.
Qui se font eux même régulièrement pirater…
Bon sinon, peuvent toujours demander à Bosch s’ils ont pas un correctif ^^
Re-précisons que le piratage over the air est impossible.
« The attacker has a lot of remote attack surface to choose from. Some of them require close proximity to the car, while
others are reachable from anywhere around the globe. Some of the vectors will require user interaction, whereas
others can be attacked unknowingly to its passengers. »
Oui ce coup là ils sont passé par Wifi, mais vu ce qui est arrivé aux Intel x86 au début de l’année je ne me risquerais pas à dire qu’un piratage qui n’a pas encore été réalisé est impossible.
Quel groupe ne l’a jamais été, en fait ? Chez FIAT et Nissan c’est déjà fait depuis 2 ans. Et les autres ?
Si on pouvait les pirater pour les mises à jour TDI……..