« Comment nous avons pris le contrôle d’une Jeep qui roule »
Vendredi 07 août 2015 à 12:00.Vous retrouverez prochainement la scène dans un film à la « Minority Report » : au lieu de l’habituelle course poursuite dans les avenues de Los Angeles ou de Chicago, un clavier d’ordinateur, et en quelques clics, la voiture en fuite est stoppée sur l’autoroute, portes verrouillées...
Ce n’est pas de la science-fiction : deux hackers ont réussi à prendre le contrôle d’une Jeep Cherokee en déplacement aux Etats-Unis, et ils ont expliqué comment, mercredi, à la conférence Black Hat, à Las Vegas, qui réunit l’univers de la sécurité numérique et des « gentils » hackers.
Panique à bord
Le geste de Chris Valasek, directeur d’un centre de recherche sur la sécurité automobile, et Charlie Miller, ingénieur chargé de la sécurité informatique chez Twitter, avait été révélé en juillet par le magazine Wired, et avait poussé Fiat Chrysler, le producteur de la Cherokee, à rappeler 1,4 million de véhicules pour corriger la « faille ».
La vidéo de Wired montrant le hacking en direct a été vue plus d’un million de fois.
Vidéo Youtube "MK0SrxBC1xs".
Les deux hommes s’étaient donné comme défi de prendre le contrôle du véhicule, et, comme on le voit sur la vidéo, ils y sont parvenus au-delà de ce qu’ils espéraient : ils ont été en mesure d’activer les essuies-glace, de monter le volume radio, d’actionner les freins, de tourner le volant, et même de couper le moteur. Bref, de quoi provoquer un bel accident ou rendre fou le conducteur...
Flippant, évidemment, pour les constructeurs automobiles engagés dans une course folle vers le plus d’automatisation possible, jusqu’à la voiture sans conducteur un jour, multipliant au passage les opportunités d’intrusions informatiques et de hacking.
En passant par le système de divertissement
Les deux ingénieurs ont expliqué à la conférence Black Hat qu’ils ont repéré la faille dans le système embarqué de « divertissement », relié en 3 ou 4G au réseau internet. Sans entrer dans les détails techniques (le site spécialisé 01net fait ça très bien...), il suffit de comprendre que les deux hommes ont pu pénétrer le système par cette « porte » ouverte sur le réseau.
A ce stade, il leur était déjà possible d’agir sur le son de la musique, sur la climatisation, et même de récupérer les données GPS du véhicule. Il leur a fallu bricoler leur passage vers les autres systèmes embarqués pour aboutir jusqu’aux éléments mécaniques de la voiture.
Charlie Miller et Chris Valasek ont indiqué avoir travaillé un an à leurs heures perdues pour aboutir à la prise de contrôle du véhicule en mouvement ; ils s’apprêtent à publier dans quelques jours un rapport complet de 90 pages sur leur démarche, qui sera assurément disséqué par les constructeurs automobiles.
« C’était pour nous un projet de nos week-ends, à temps très partiel. Imaginez que ça soit notre occupation principale, qu’on soit payés pour faire ça »...
La morale de cette histoire en direction de l’industrie automobile, tirée par Chris Vasalek à Las Vegas :
« Cessez de dire que tout ce que vous faites est impossible à hacker, car vous allez avoir l’air idiot. L’industrie automobile dit qu’elle prend toutes les précautions et travaille dur à la sécurité, mais il est clair qu’elle ne le fait pas bien. »
« La Jeep n’est que le début »
Charlie Miller, un spécialiste des questions de sécurité, a mis en garde sur le fait que leur « découverte » ne concernait pas que l’automobile, mais tous les objets connectés, ces objets autrefois inertes de notre environnement, mais qui deviennent progressivement de véritables ordinateurs transformés en grille-pain !
Plusieurs orateurs, à Las Vegas, ont souligné que dans la concurrence acharnée que se livrent les fabricants d’objets connectés, la sécurité est souvent le parent pauvre. Certains fabricants n’ont même pas d’équipe dédiée à la sécurité des objets qu’ils produisent, ont-ils prévenu.
« La Jeep n’est que le début », s’exclame Jeff Moss, le fondateur de la conférence Black Hat, cité par le site phys.org.
« Les criminels sont des génies pour trouver le moyen de détourner ces trucs-là. »
Jeff Moss souligne que les intrusions par le biais des objets d’une maison permettront de récolter des informations sur le mode de vie ou les habitudes d’une personne, voire de filmer son intimité à son insu.
D’autant, explique-t-il, que les machines à laver ou les réfrigérateurs « intelligents » sont appelés à durer des années, sans nécessairement recevoir les mises à jour de leurs systèmes informatiques intégrés. Avec le temps, estime-t-il, les hackers trouveront les failles qui ne pourront pas aisément être corrigées.
« Nous sommes en train de nous précipiter vers un monde dans lequel tous nos objets seront connectés, ne pourront subir de mises à jour et sont là pour durer dix ans. »
Et de prédire un « désastre » si des centaines de millions d’objets sont ainsi connectés sans sécurité.
Pas de commentaires