Les voitures Tesla ne sont pas non plus à l’abri des pirates

C’est en l’espace de dix jours, après avoir reçu la notification d’une vulnérabilité critique, que Tesla a produit un correctif pour ses voitures, déployé sans fil, en mode OTA (over-the-air). Positif, le constructeur a même indiqué « encourager » la communauté des chercheurs en sécurité à tenter de découvrir des vulnérabilités dans l’électronique embarquée de ses véhicules.

Et justement, celle qu’il vient de corriger permettait de prendre à distance le contrôle complet de la voiture : ouverture et fermeture des vitres et du toit ouvrant ou encore commande des rétroviseurs et des réglages des sièges, ainsi que des essuie-glaces. Jusqu’à empêcher le propriétaire d’utiliser sa voiture. Mais ce n’est pas tout : ils sont également parvenus à contrôler des organes plus critiques du véhicule comme le système de freinage.

Les chercheurs de Keen Security expliquent s’être appuyés sur la compromission du bus de communication CAN, utilisé pour l’interconnexion des modules de l’électronique embarquée des voitures. Une demi-surprise, en fait.

Dans le courant de l’été, les chercheurs Charlie Miller et Chris Valasek, qui s’étaient illustrés il y a un an avec le piratage d’une Jeep Cherokee, ont détaillé la manière dont réagissent des systèmes critiques pour la sécurité automobile à l’injection de messages sur le réseau assurant l’interconnexion de leurs composants électroniques embarqués. Jusqu’à montrer comment contourner certaines protections en place pour contrôler freinage, direction ou encore accélération. Début 2014, deux chercheurs en sécurité espagnoles avait déjà démontré les vulnérabilités du bus CAN automobile.

Comme le rappelle Bruce Schneier, « une voiture moderne n’est pas une automobile avec un ordinateur embarqué ; c’est un ordinateur avec quatre roues et un moteur ». Dans un communiqué, Paul Labrogère, directeur du programme Transport autonome de l’IRT SystemX, souligne d’ailleurs que « les surfaces d’attaque du futur transport intelligent couvrant à la fois la voiture, bientôt autonome, le train/tramway et l’aéronef ne cessent de s’étendre par l’hyperconnexion des objets électroniques qui les composent ».

Et alors que l’automobile prépare sa révolution de la cybersécurité, Volkswagen vient d’annoncer la création d’une filiale dédiée au sujet. Surtout, de son côté, le ministère américain des transports vient de publier les règles fédérales pour le test et le déploiement de véhicules autonomes. Celles-ci prévoient notamment une évaluation de la sûreté des véhicules dans quinze domaines, dont la cybersécurité. Et de demander en particulier que les constructeurs s’assurent d’avoir « appliqué les pratiques de référence appropriées en cybersécurité et sûreté fonctionnelle » : « les constructeurs devrait suivre un processus de développement produit robuste basé sur une approche de l’ingénierie de systèmes afin de minimiser les risques de sûreté, y compris ceux liés à des vulnérabilités et des menaces cyber. Ce processus devrait intégrer une évaluation continue et systématique du risque ».

Le ministère américain des transports semble prendre acte de la criticité du sujet : il appelle en effet au recours à des « fonction d’identification, protection, détection, réponse et restauration » pour permettre « des prises de décision de gestion du risque, réagir aux risques et menaces et répondre rapidement aux événements de cybersécurité – et apprendre d’eux ».