Sécurité informatique : votre voiture, mes commandes

Nous avons déjà évoqué dans de précédentes éditions du Bulletin, comme dans notre article « Paranoïa d'aujourd'hui, réalité de demain » (voir ici), l'internet des objets et ses conséquences sur le plan de la sécurité. Malheureusement, demain est arrivé. À l’occasion de la conférence BlackHat 2015, des chercheurs ont montré comment ils pouvaient facilement pirater votre voiture et en prendre le contrôle à distance...

 

S’ils ne sont passés à l'action que sur une Jeep Cherokee, d'autres ont mené des expériences similaires sur des Smart, des Ford, des Tesla, des Corvette ou encore des BMW, Chrysler et Mercedes. La présence toujours plus importante de l'informatique dans les voitures, que ce soit pour le contrôle du moteur, pour l'air conditionné, pour l'ABS, pour l'ESP, etc., mais aussi pour le système de radio et de divertissement, pour la navigation ou pour les communications ont permis la prise de contrôle à distance des voitures. L'omniprésente interface Bluetooth, qui vous permet de connecter votre téléphone, est le principal vecteur d'attaque. Et à distance. Le module GSM, présent de série, est un autre vecteur, et il est même en passe de devenir une obligation légale dans certains États européens pour les appels d'urgence (« eCall »). Les chercheurs mentionnés dans le premier article ont découvert une faille dans le système GSM « uConnect » de Fiat/Jeep, qui leur a permis de se connecter à distance à leur Jeep Cherokee, d'en manipuler le logiciel, et finalement de prendre le contrôle de la radio, de l'air conditionné mais aussi de l'accélérateur ! Imaginez-vous dans cette situation sur l'autoroute... Et les expériences menées sur Ford, Tesla ou Corvette ne sont pas plus rassurantes.

Les problèmes de sécurité informatique qui ont affecté nos PC dans les années 1990, et qui sont inhérents aux systèmes de contrôle depuis les années 2000 (« Pirater les systèmes de contrôle, éteindre les lumières ! »), entrent donc aujourd'hui dans notre vie quotidienne (voir « Notre vie en symbiose » ) ! Et si la mise à jour des systèmes de contrôle du LHC vous paraît déjà difficile et complexe, que diriez-vous pour votre maison ? .... votre voiture ? .... votre frigo ? .... votre télévision ?

P.S. : Si vous possédez une Jeep Cherokee, une mise à jour pour cette vulnérabilité est disponible ici. Les modèles européens sont censés ne pas être concernés.


N'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Stefan Lueders, Computer Security Team