211service.com
Prendre le contrôle des voitures à distance
Des chercheurs qui ont passé les deux dernières années à étudier la sécurité des systèmes informatiques des voitures ont révélé qu'ils peuvent prendre le contrôle des véhicules sans fil.

Tableau de bord piraté : Les chercheurs ont déjà montré qu'ils peuvent prendre le contrôle de l'affichage du tableau de bord d'une voiture, entre autres systèmes.
Les chercheurs ont pu tout contrôler, des freins de la voiture à ses serrures de porte en passant par ses écrans de tableau de bord informatisés en accédant à l'ordinateur de bord via OnStar de GM et Ford Sync, ainsi que via les connexions Bluetooth destinées à passer des appels téléphoniques mains libres. Ils ont présenté leurs conclusions cette semaine aux académies nationales Comité sur les commandes électroniques des véhicules et les accélérations involontaires , qui a été réunie en partie en réponse au scandale de l'année dernière concernant des problèmes supposés avec les systèmes de freinage informatisés des Toyota Priuses.
L'équipe, y compris Tadayoshi Kohno , professeur adjoint d'informatique à l'Université de Washington, et Stefan Savage , professeur d'informatique à l'Université de Californie à San Diego, avait déjà montré qu'ils pouvaient prendre le contrôle des systèmes informatiques d'une voiture, à condition d'avoir un accès physique au port de diagnostic embarqué du véhicule, un point d'accès mandaté par le gouvernement fédéral situé sous le tableau de bord dans presque toutes les voitures modernes.
Avec les nouveaux travaux, les chercheurs ont systématiquement analysé les moyens d'accéder aux systèmes informatiques d'une voiture sans avoir d'accès physique. Ils ont utilisé une berline de série 2009 équipée de moins de systèmes informatiques que de nombreuses voitures haut de gamme. Pour chaque attaque réussie, ils ont confirmé qu'ils pouvaient prendre le contrôle complet de tous les systèmes informatiques internes de la voiture.
Les chercheurs ont attaqué le système Bluetooth de la voiture, qui permet à un conducteur de passer des appels mains libres avec son téléphone portable. Ils ont découvert une vulnérabilité dans la façon dont le système Bluetooth a été mis en œuvre, ce qui leur a permis d'exécuter du code pour prendre le contrôle de la voiture. Pour ce faire, les chercheurs ont utilisé un smartphone déjà associé à la voiture ou ont trouvé un moyen d'autoriser illicitement une nouvelle connexion avec un smartphone.
De nos jours, de nombreuses voitures sont équipées de connexions cellulaires qui remplissent des fonctions de sécurité, telles que l'appel automatique à l'aide si le conducteur est impliqué dans un accident. Les chercheurs ont découvert qu'ils pouvaient prendre le contrôle de ce système en brisant son système d'authentification. Tout d'abord, ils ont passé environ 130 appels à la voiture pour y accéder, puis ils ont téléchargé le code en utilisant 14 secondes d'audio. Les chercheurs ont également trouvé d'autres moyens d'y accéder, par exemple via le lecteur multimédia de la voiture.
Nous avons été surpris de constater que la surface d'attaque était si large, dit Kohno, faisant référence à la grande variété de façons dont les chercheurs ont pu accéder aux systèmes informatiques de la voiture.
L'équipe a également analysé les scénarios d'attaque possibles. Par exemple, ils ont montré que les voleurs de voitures de haute technologie pouvaient rechercher les modèles de voitures souhaités, identifier leurs emplacements et les déverrouiller, le tout sans aucune effraction. Ils pourraient mener une surveillance malveillante, comme obliger une voiture à envoyer sa position GPS à intervalles réguliers. Ils pourraient également saboter une voiture, en désactivant ses freins, par exemple.
Il n'y a aucune preuve que l'un de ces scénarios d'attaque ait été utilisé par des criminels, et il y a peu de danger immédiat pour les consommateurs, selon les chercheurs. Stefan et moi nous sentons toujours parfaitement à l'aise au volant de nos voitures, dit Kohno.
Cela a pris deux ans à 10 chercheurs, ajoute Savage. Ce n'est pas quelque chose qu'un gars va faire dans son garage.
Cependant, il est peut-être temps que les constructeurs commencent à chercher des moyens de protéger les voitures contre les attaques de pirates. Louis Lanzerotti , éminent professeur de recherche au département de physique du New Jersey Institute of Technology et président du comité sur les commandes électroniques des véhicules et l'accélération involontaire, a déclaré que les chercheurs avaient été invités à prendre la parole lors de l'événement dans le cadre de son examen des commandes électroniques des véhicules, systèmes et la sécurité dans l'ensemble de l'industrie. Le groupe rassemblera les informations qu'il recueillera pour faire des recommandations aux Administration nationale de la sécurité routière concernant les moyens de garantir la sécurité des commandes électroniques des véhicules.
Attaquer des voitures à distance élargit considérablement la menace et augmente considérablement l'impact de ce travail et des travaux précédents [des chercheurs], selon Aurélien Francillon , chercheur au sein du groupe de sécurité des systèmes de l'ETH Zurich, en Suisse, qui a également travaillé sur la sécurité automobile. Il est temps pour les constructeurs automobiles, à mesure qu'ils deviennent des éditeurs de logiciels, de prendre la sécurité des logiciels très au sérieux et d'appliquer à la fois les meilleures pratiques courantes en matière de renforcement des logiciels et des méthodes formelles de conception et de vérification. Bien que Francillon reconnaisse que cela augmentera les dépenses de développement et d'ingénierie des systèmes pour les voitures, il pense qu'un investissement supplémentaire sera nécessaire à mesure que de plus en plus d'attaques logicielles deviennent publiques.
Certains constructeurs travaillent déjà à une meilleure sécurité, note Francillon, et plusieurs projets de recherche européens sont en cours, comme Éviter , en plus du travail effectué par le Center for Automotive Embedded Systems Security.
Savage pense que, malgré le large éventail de vulnérabilités découvertes par la recherche, les problèmes seront résolus. Nous pouvons voir un bon résultat ici, dit-il.