Dakarmidi – Des chercheurs en sécurité informatique ont récemment prouvé qu’un protocole de communication présent sur la majorité des voitures actuelles contenait une vulnérabilité impossible à corriger.
Voilà une découverte un tantinet effrayante. En partenariat avec des chercheurs de l’université polytechnique de Milan et des Canadiens de LinkLayer Labs, la firme de sécurité Trend Micro a démontré qu’une vulnérabilité existant dans le protocole de communication interne de la plupart des voitures pouvait être exploitée par des pirates pour déconnecter les systèmes de sécurité et, ainsi, voler le véhicule.
Les chercheurs ont mis en évidence une vulnérabilité dans le standard CAN (Controller Area Network), développé par Bosch en 1983 et utilisé depuis cette date dans presque tous les véhicules. Son rôle est de simplifier l’interconnexion et la communication entre l’ordinateur de bord et plusieurs groupes de composants. Ceux liés au confort, ceux qui aident à la détection des pannes mais aussi les composants dits de sécurité comme les airbags, les capteurs de chocs ou encore l’ABS.
Les bus CAN (de petits calculateurs) servent à la maintenance du véhicule, mais participent aussi à vous faciliter la vie au volant. Ils peuvent par exemple permettre à la radio d’augmenter automatiquement le volume du son lorsque la vitesse du véhicule s’accroît… Mais dans le lot de messages qui circulent, il y a parfois des erreurs que le système gère en renouvelant l’envoi d’une requête entre deux éléments. Et lorsqu’un composant envoie trop de messages d’erreur il est coupé du circuit CAN pour éviter qu’il génère des erreurs sur les autres modules.
C’est justement sur cette fonction que se sont concentrés les chercheurs. Ils ont réussi à la déclencher de manière artificielle, en créant une attaque par déni de service qui oblige le système à désactiver divers éléments de la voiture comme l’ABS, la fermeture des portes ou encore les airbags. Comme on peut le voir ci-dessous, il se sont servis d’une simple carte Arduino reliée à la prise OBD de leur voiture cible pour commettre leur forfait.
Ne soyez néanmoins pas trop inquiet. Pour qu’un hacker pirate ainsi votre voiture, il lui faudrait donc dans la plupart des cas un accès physique au véhicule. Sauf s’il parvenait à profiter d’une autre faille présente, par exemple, sur un véhicule connecté (en 4G ou en Wi-Fi par exemple).
Le véritable souci, c’est surtout que ce problème global est quasi impossible à corriger. Pour éliminer entièrement cette faille, il faudrait développer un tout nouveau standard plus sécurisé. Une procédure longue et fastidieuse… qui ne changerait rien de toute façon pour les voitures déjà en circulation.
Les chercheurs offrent cependant des pistes aux constructeurs pour limiter les risques. Notamment le chiffrement des communications CAN ou une protection physique du port OBD.
Source : Bfmtv