La voiture connectée est désormais incontournable sur le marché de l’automobile. Aujourd’hui, le nombre d’utilisateurs d’applications pour ces voitures du futur se compte en dizaine de milliers voire en millions, selon Kaspersky. Le spécialiste de la sécurité informatique a d’ailleurs mené une étude sur ces applications afin de vérifier leur sécurisation, et le résultat n’est pas glorieux.
Parmi les 7 applications testées, certaines permettent entre autres de gérer les équipements audio et vidéo, de récupérer les données GPS de la voiture, d’ouvrir ou de fermer les portières ou même de démarrer la voiture. Les chercheurs se sont basés sur plusieurs critères d’analyse comme la protection des identifiants ou l’interdiction de l’ingénierie inversée (consistant à étudier le fonctionnement interne de l’application) par exemple. Sans grande surprise, les applications présentent toutes sans exception des failles de sécurité et un pirate pourrait sans difficulté prendre le contrôle d’un véhicule grâce à elle. Aucune ne dispose de mécanismes de défense. Pas une seule des applications n’est protégée contre l’ingénierie inversée et l’une d’entre elles laisse même les identifiants de l’utilisateur visible de tous. Autre aspect inquiétant, l’absence de détection des permissions de roots, ce qui permet aux hackeurs de supprimer les sécurités du système de l’application pour en prendre le contrôle.
Contre cela, Kaspersky déconseille à l’ensemble des utilisateurs de ces applications de rooter leur smartphone Android. Le root consiste à prendre les pleins pouvoirs de l’appareil, permet d’accéder à des fichiers sensibles et potentiellement d’affecter sa sécurité ou même de détériorer l’appareil.
Même si ces voitures connectées nécessitent une clé numérique pour être démarrées, lorsque les pirates réussissent à entrer dans la voiture grâce à l’application, ils peuvent également s’emparer de l’« unité de programmation » pour installer une nouvelle clé.
Les voitures piratées, du déjà vu
En 2015 déjà, la vidéo du piratage d’une Jeep connectée avait fait le tour du web. Plus récemment, en fin d’année dernière, une Tesla Model S avait été contrôlée à distance par des chercheurs, qui avait su déceler la faille de sécurité. Ils précisent néanmoins que pour hacker la voiture, il faut qu’elle soit connectée à un hotspot WIFI malveillant qui peut être contrôlé par un pirate. Ainsi, grâce à un manque de sécurité du navigateur internet du véhicule, les chercheurs ont réussi à ouvrir les portes, actionner les clignotants ou même activer les freins en pleine route.
Des recommandations pour empêcher les piratages
Si le fabricant a confirmé que la brèche avait été corrigée, une longue bataille est encore à mener pour la sécurisation de ces voitures connectées. Le National Highway Traffic Safety Administration (NHTSA), agence fédérale américaine pour la sécurité routière, a publié un rapport à destination de l’industrie automobile pour inciter à être plus vigilants contre ces attaques. L’agence conseille de proposer aux conducteurs des ressources liées à la cybersécurité, de mettre un place un système de remontée des failles aux fabricants ainsi qu’un système d’identification plus important, et de surveiller les communications du véhicule.