Il n’est jamais rassurant de savoir que son véhicule est potentiellement la cible d’une attaque informatique. Néanmoins, cette nouvelle faille de sécurité détectée par la firme de sécurité Trend Micro nécessite un accès physique à la voiture. Crédit photo : Forward-Looking Threat Research Une faille située au cœur du système du véhicule C’est dans le CAN (Controller Area Network) que la firme de sécurité Trend Micro a trouvé la faille. Un CAN est un bus système (ou dispositif de transmission de données) qui permet de relier plusieurs calculateurs qui communiquent à tour de rôle. Ce système permet d’éliminer un grand nombre de câbles en utilisant un bus qui peut gérer plusieurs fonctions vitales du véhicule à la fois. Dans les voitures actuelles, l’électronique prend de plus en plus de place. Nos autos deviennent donc potentiellement plus vulnérables car les portes d’entrée pour les hackers se multiplient. Et les bus CAN se retrouvent dans quasi tous les véhicules produits depuis une vingtaine d’années. Les chercheurs de Trend Micro ont démontré qu’il était possible de mettre en berne certains systèmes de sécurité d’une voiture en passant par ces bus CAN. Pour ce faire, les chercheurs ont connecté une carte programmable à la prise OBD d’une Alfa Roméo Giulietta. Les prises OBD sont utilisées -entre autres- pour faire des diagnostics moteur par les garagistes, elles sont présentes sur tous les véhicules équipés d’un calculateur électronique. Les chercheurs ont utilisé cette connexion pour faire une attaque de type déni de service sur le bus CAN. Quand ce dernier détecte un trop grand nombre de requête du même terminal, il interprète cela comme une erreur venant du terminal et le met en défaut. Ce qui fait que la fonction correspondante du terminal est désactivée. Quasi tous les dispositifs de sûreté du véhicule peuvent être désactivés Imaginons que ce terminal contrôle un airbag, ce dernier ne pourra alors tout simplement plus se déclencher. C’est donc en envoyant un grand nombre de requête à partir d’un terminal qu’il est possible de mettre en berne la quasi-totalité des fonctionnalités de confort (climatisation automatique, Bluetooth…) mais aussi de sécurité (capteurs de proximité pour le parking, ABS…) de la voiture. Pour l’heure, il faut absolument une connexion physique au véhicule pour lancer ce genre d’attaque. Donc si votre auto en est victime…c’est qu’il est déjà trop tard et que vous vous êtes probablement déjà fait braquer. Mais avec les voitures de plus en plus connectées, rien ne dit que dans le futur quelqu’un ne pourra pas accéder à toute l’électronique d’un véhicule simplement via une connexion Internet. Et comme les CAN équipent la vaste majorité des voitures sur le marché, il n’est pas possible de faire un rappel pour corriger la faille. Il faut donc espérer que les équipementiers automobiles renforceront leurs systèmes à l’avenir.