Sécurité des voitures connectées : un nouveau défi pour le secteur automobile en 2018 ?

Voiture connectée, véhicule autonome, etc. la digitalisation gagne depuis plusieurs années le secteur de l’automobile. Avec l’arrivée de la 5G, les opérateurs et équipementiers télécoms multiplient eux aussi les innovations, à l’image de l’annonce de Huawei lors du dernier Mobile World Congress. En 2022, le marché des voitures connectées devrait atteindre 156 milliard de dollars[1]. Aujourd’hui, en France, 74 % des conducteurs utilisent les fonctionnalités connectées de leur véhicule[2]. Si elles apportent un service aux utilisateurs comme aux constructeurs, la technologie embarquée pose cependant des questions en matière de sécurité.

Les voitures connectées s’appuient sur un système de communication embarqué, offrant un accès Internet et des services associés. La connexion s'effectue via les réseaux de téléphonie mobile grâce à un équipement intégré au véhicule, ou en utilisant le smartphone du conducteur ou d'un passager. Aujourd’hui, la voiture connectée permet notamment à son utilisateur de bénéficier de fonctionnalités de navigation, de géolocalisation, de Wi-Fi embarqué, d’appels et de SMS à commandes vocales ainsi que de conduite autonome. Cependant, une connexion du véhicule vers un réseau extérieur représente une porte d’entrée pour les pirates. Pour preuve, la Clio 4 figure en tête des automobiles les plus dérobées l’an passé, victime des faiblesses de son système de démarrage par carte[3].

En 2015, des chercheurs en sécurité ont démontré qu’il était possible de prendre le contrôle d’une voiture connectée en exploitant des vulnérabilités présentes dans le système de bord accessible via l’adresse IP de la voiture. Ils ont alors pu contrôler à distance la radio, la direction ou encore désactiver les freins.

Les voitures connectées ouvrent donc une porte supplémentaire aux pirates, leur permettant un accès distant ou physique. Aussi appelée "mouse jacking", cette technique permet à un attaquant d’accéder à la voiture sans effraction.

Plusieurs formes de mouse jacking existent

Des brouilleurs permettent d’interférer avec les ondes utilisées pour communiquer avec le véhicule lors de la fermeture. En recouvrant le signal émis par la clef au moment de la fermeture, le brouilleur va bloquer le signal et empêcher le verrouillage de la voiture, laissant libre accès au pirate. Certains brouilleurs peuvent avoir une portée de plus de 500 mètres.

Il est également possible d’intercepter le signal émis au moyen d’un boîtier qui permettra de rejouer la séquence et d’accéder à la voiture. Ce boîtier, qui sera positionné entre la voiture et la clef, va simplement enregistrer et décoder la séquence envoyée pour l’ouverture ou la fermeture. Dans certains cas, pour les véhicules pourvus de clef sans contact, un voleur sera en mesure de faire démarrer le moteur.

Le port OBD2 (On-Board Diagnostic) est une autre méthode de prise de contrôle d’une automobile. Ce standard, qui permet de réaliser un diagnostic en cas de panne, est utilisé dans toutes les voitures depuis plus de vingt ans.

Chaque véhicule utilise un réseau nommé "CAN" (Controller Area Network) pour faire communiquer tous les équipements entre eux. En se connectant au port OBD2, il est possible pour un individu mal intentionné d’intercepter les trames CAN afin de les analyser et potentiellement d’en détourner les usages. La plupart des véhicules utilisent ce protocole sans protection ou sans couche de chiffrement, laissant ainsi libre accès à tout individu. Une porte dérobée (backdoor) permettant un contrôle à distance pourrait ainsi être installée. Si cette technique est éprouvée, elle nécessite toutefois d'avoir physiquement accès à la voiture.

De nombreux appareils utilisés dans la pratique du mouse jacking sont en vente sur le marché noir ou sur Internet, pouvant coûter jusqu’à plusieurs milliers d’euros. Associée au fait que la plupart des brouilleurs sont simples à mettre en place, cette technique risque de continuer à être un des moyens préférés des voleurs de voiture. Pour preuve, 68 % des véhicules subtilisés en sont victimes[4].

Quels sont les autres risques ?

Au-delà du risque de mouse jacking, une voiture connectée comporte des risques similaires aux autres objets connectés.

L’interconnexion de nos équipements à nos voitures, smartphones par exemple, nécessite la transmission d’informations telles que notre carnet d’adresses, l’historique des messages envoyés ou d’autres données personnelles. Par ailleurs, les équipement embarqués, GPS ou autres systèmes d’assistance, conservent également les préférences du conducteur. Tout un tas de données personnelles enregistrées dans notre voiture qui pourraient dans un futur proche être exploitées de manière massive, pour nous proposer de plus en plus de publicité ou effectuer des actes de surveillance, par exemple dans le cas d’un contrat d’assurance. Avec l’arrivée de voitures complètement connectées telles que les Tesla qui permettent l’accès Internet depuis un navigateur (via Tesla Browser), il est tout à fait envisageable de prévoir un nouveau type de spam basé sur les déplacements et la géolocalisation. Ce type d’action pourrait apporter un risque de distraction supplémentaire pour la conduite en plus d’être potentiellement non désiré.

Les malwares ciblant les voitures connectées sont également une nouvelle menace pour les prochaines années. Ces automobiles intelligentes embarquent aujourd’hui très peu de sécurité. Les téléphones, les navigateurs ou tout simplement le système de communication via les réseaux de télécommunication embarqués dans nos voitures sont des vecteurs d’infections permettant l’installation de malwares. En 2016, des chercheurs en sécurité de McAfee ont démontré un concept de ransomware bloquant l’utilisation de la voiture tant que la rançon n’a pas été payée. Le ransomware a ainsi été installé via le système OTA (Over The Air) permettant la connexion d’équipement externe.

Encore relativement récentes, les voitures connectées vont progressivement envahir le marché de l’automobile, apportant leurs lots d’innovations et de services, mais également de nouveaux risques de sécurité. Des organisations et standards commencent à émerger afin d’encadrer le développement de ces nouveaux véhicules. Tout comme nos ordinateurs, la sécurité des voitures connectées nécessitera plusieurs années afin d’atteindre son point de maturité. L’innovation et le progrès sont le moteur de l’être humain, et il y a fort à parier que les automobiles de demain vont radicalement transformer notre manière de se déplacer.