211service.com
Les constructeurs automobiles accélèrent leurs efforts de sécurité après avoir piraté des cascades
Votre prochaine voiture pourrait avoir une excellente cote de sécurité ou un bon score de fiabilité, mais dans quelle mesure sera-t-elle piratable ?
Des chercheurs en sécurité ont récemment démontré plusieurs astuces pour pirater des voitures afin de prendre le contrôle de composants tels que la chaîne stéréo et les essuie-glaces, et même le moteur et les freins. Dans un exemple , une paire d'experts a désactivé à distance le système de freinage d'une Jeep Cherokee alors qu'un journaliste la conduisait sur la route.
Sans surprise, les constructeurs automobiles ont commencé à prendre la sécurité informatique beaucoup plus au sérieux, mais ils ont été aveuglés par la rapidité des changements technologiques au sein de l'industrie, et en particulier par la façon dont l'ajout de la connectivité a ouvert les voitures aux attaques. Dans le même temps, ils ajoutent rapidement de nouvelles fonctionnalités qui nécessiteront un examen de sécurité supplémentaire.
Le constructeur de voitures électriques Tesla a une longueur d'avance avec une voiture à la fois très informatisée et connectée et relativement bien protégée contre les pirates. Contrairement à la plupart des voitures sur la route, la dernière Model S dispose d'un réseau informatique interne qui sépare les différents systèmes, ce qui rend plus difficile pour les pirates de passer d'un système à l'autre. Les experts qui ont piraté la Jeep, par exemple, ont utilisé le système de divertissement comme moyen d'accéder à d'autres composants du véhicule. D'autres constructeurs automobiles développent maintenant des systèmes similaires, dit Josué Corman , un chercheur indépendant en sécurité qui consulte les constructeurs automobiles. Il n'y a vraiment aucune raison pour que la chaîne stéréo parle aux freins, dit-il.
Les constructeurs automobiles revoient également leur approche pour traiter les failles de sécurité et les bogues, ce qui signifie qu'ils inviteront des chercheurs en sécurité à les alerter des problèmes et à travailler avec eux pour les résoudre (plutôt que de menacer de les poursuivre, comme cela s'est produit dans le passé). Tesla a offert des primes en espèces à ceux qui divulguent de tels problèmes. Plusieurs experts dans le domaine affirment que d'autres constructeurs automobiles pourraient bientôt faire de même. Corman dit que deux constructeurs automobiles avaient prévu de révéler une nouvelle approche à Defcon, une importante conférence sur la sécurité informatique à Las Vegas, mais ont été dissuadés par la presse négative attirée par le piratage de Jeep.
De plus en plus de constructeurs automobiles conçoivent également des moyens de corriger à distance le logiciel de leurs voitures, afin de résoudre les problèmes plus rapidement. Jusqu'à présent, seuls Tesla et BMW en sont capables, mais Ford a récemment déclaré qu'il introduirait la fonctionnalité dans ses véhicules, sans toutefois préciser quand.
De nombreux experts disent que les constructeurs automobiles doivent faire beaucoup plus, cependant. Corman aussi défenseurs , entre autres, l'ajout d'une boîte noire au réseau informatique à l'intérieur des véhicules afin que les attaques de piratage puissent être enregistrées et tracées après coup. Un tel dispositif, ou quelque chose de similaire, pourrait également être utilisé pour détecter et arrêter une attaque en cours.
Les universitaires piratent des voitures depuis des années (voir Prendre le contrôle des voitures de loin). Mais l'introduction de la connectivité cellulaire a facilité la compromission d'un véhicule. Craig Smith , un chercheur en sécurité qui teste la sécurité de nombreux constructeurs automobiles, dit qu'il a réalisé des exploits similaires au piratage de Jeep à ce titre. Quand il s'agit de trouver un exploit, il n'y a que quelques nouvelles choses que vous devez apprendre, dit-il.
La plupart des constructeurs automobiles permettent aux smartphones de se connecter au tableau de bord via CarPlay d'Apple et Android Auto de Google (voir Redémarrer l'automobile). Même si une voiture n'a pas sa propre connexion cellulaire, ces systèmes permettront au conducteur d'afficher des applications, des cartes et des messages sur la console et de trouver des informations en ligne.
Les constructeurs automobiles, ainsi que Google et Apple, affirment que ces systèmes ne représentent aucune menace, car les deux projettent essentiellement l'écran du téléphone sur l'écran de la voiture. Ils ne manipulent pas les données, explique Brad Stertz, porte-parole d'Audi, qui ajoute CarPlay et Android Auto aux véhicules.
Mais les experts en sécurité ne sont pas si sûrs. Charlie Miller, l'un des chercheurs qui a piraté le Jeep Cherokee, dit qu'il n'a pas examiné CarPlay ou Android Auto, mais pense qu'ils sont probablement un vecteur, ce qui signifie qu'ils pourraient fournir un moyen d'accéder au reste d'une voiture.
Kevin Mahaffey, directeur technique de Lookout et l'un des chercheurs à l'origine d'un récent piratage de Tesla, affirme que c'est une possibilité qui doit être envisagée. Comme les voitures et les téléphones communiquent beaucoup plus, je pense que cela commence à mélanger les problèmes de sécurité, dit-il. Je ne peux pas faire d'annonces sur les recherches futures, mais l'intersection des téléphones et des systèmes critiques pour la sécurité se produit de plus en plus, c'est donc un domaine auquel nous accordons beaucoup d'attention.
Il est certainement encore assez difficile de pirater une voiture. Le piratage de Jeep impliquait une ingénierie inverse et la reprogrammation d'une puce informatique dans le système de divertissement du véhicule. Pourtant, les compétences requises commencent à se répandre, à mesure que de plus en plus de codes sources d'exploitation sont publiés et que de plus en plus de personnes s'intéressent à la sécurité des véhicules.
Corman dit qu'environ 10 experts enseignaient aux gens comment pirater le matériel automobile lors de l'événement Defcon : La population de pirates automobiles augmente rapidement.