«Il n’y a pas que de bonnes choses dans le numérique», me dit mon voisin en descendant les escaliers tout en ajoutant «c’est une première dans le monde automobile». Flashback.
Saint Louis dans le Missouri aux Etats-Unis, Charlie Miller et Chris Valasek, chercheurs dans les IT et pirates occasionnels pour la bonne cause, ont pris le contrôle Jeep Cherokee commercialisée par le groupe Fiat Chrysler à distance. Ils sont parvenus à couper le moteur, et à prendre le contrôle du volant. Ils se sont amusés à manipuler la radio et la ventilation de la voiture, et à déclencher les essuie-glaces et le lave-vitre. En un mot, les deux chercheurs ont pris totalement le contrôle du véhicule et ce piratage a été fait sur une jeep cherokee mais les chercheurs ont indiqué qu’ils auraient pu toucher presque l’ensemble de la gamme (Grand Cherokee, Dodge Durango, Chrysler 200 et 300, etc). Le test consistait à accéder au véhicule via son système d’info-divertissement UConnect connecté à l’opérateur américain Sprint. C’est l’un des aspects les plus flippants de ce hacking : les pirates agissent à distance, sans accès physique à la voiture. Pour prendre le contrôle de la voiture, les deux hackers utilisent l’accès de Uconnect, qui est une plateforme connectée à Internet qui équipe ces véhicules pour proposer des services de navigation, de divertissement, d’appels et même de point d’accès Wifi, explique Wired. Miller et Valasek ont déniché une faille dans ce système grâce à laquelle ils peuvent s’infiltrer dans l’ordinateur de bord, à condition de connaître l’adresse IP de la voiture.
Les chercheurs voulaient révéler le danger entourant les voitures connectées. Les détails seront partiellement rendus publics par les deux auteurs lors de la conférence Black Hat, la grande-messe de la sécurité informatique qui se tient tous les ans au mois d’août à Las Vegas.Chrysler réagit immédiatement et rappelle 1.4 million de voitures vendues. Il va y installer un logiciel qui empêchera les pirates informatiques de prendre le contrôle du véhicule, promet-il et qui va être fait à l’aide d’une clé USB qui contiendra une mise à jour du logiciel et qui sera installé via le port du tableau de bord du véhicule. Chrysler souligne qu’il a également pris des mesures pour bloquer l’attaque numérique de Miller et Valasek avec des outils de sécurité qui détectent et bloquent l’attaque sur le réseau de Sprint, l’opérateur mobile qui relie les véhicules de Chrysler à l’Internet. Derrière Fiat Chrysler, ce sont tous les constructeurs automobiles qui se saisissent du problème. Valasek a écrit sur Twitter qu’il avait testé à nouveau l’attaque et a constaté qu’elle était inopérante.Cette expérience porte un coup dur au IoT et surtout au développement des voitures autonomes qui s’auto-conduisent grâce à des logiciels embarqués. Mais cette démarche ne suffira certainement pas à apaiser les craintes, et cela risque de saper plusieurs années d’investissement dans le domaine des automobiles. Mais pas uniquement ce domaine. A travers la démonstration de ces deux chercheurs, ce sont toutes les applications M2M qui utilisent Internet qui peuvent être hackées. Rien que pour les véhicules, on estime qu’il y a plus de 27 millions d’automobiles dans le monde, qui sont connectées à l’internet ce qui les rend vulnérables aux pirates informatiques. Et ce chiffre devrait doubler ou tripler dans les années à venir. Pour le moment, c’est le seul piratage de véhicule quoi que Ford et BMW sont en train de revoir leur software embarqué. C’est toujours un dilemme pour les entreprises victimes d’un piratage : doivent-elles le rendre public au risque de perdre en crédibilité ou le garder secret au risque, cette fois, d’exposer ses clients ou utilisateurs ?