Cybersécurité : nos voitures, à la merci des voleurs et des hackeurs

"La sécurité informatique est notre spécialité, à Strathclyde. Nous nous intéressons à tous les domaines, d’ordre public, privé, industriel, militaire…", pose le Dr Bellekens, qui nous reçoit dans la maison familiale, sur les hauteurs de Namur. "Nous détectons les vulnérabilités, les attaques éventuelles, et proposons des solutions en matière de protection. Quand on trouve une faille dans un système, on prévient l’entreprise et on lui donne neuf mois pour nous contacter. Passé ce délai, on dévoile la faille publiquement." Pourquoi tout déballer? "Ce que fait une université de recherche comme la nôtre doit avoir un impact pour le grand public, il doit comprendre ce sur quoi on travaille."

L’équipe de chercheurs a ainsi révélé un cas de fuite de données d’ordre médical, en Grande-Bretagne, ou celui des babyphones équipés de caméra dont des hackers pouvaient prendre le contrôle à distance. Et en matière automobile ? "On a listé toutes les vulnérabilités, internes et externes, pour déterminer la surface d’attaque de la voiture, en l’occurrence une Skoda Octavia VRS de 2017." Mais, prévient l’expert, toutes les marques, Mercedes, Jeep, Tesla, Audi, etc., ont leurs faiblesses.

Conclusions ? Il y a beaucoup de failles aux conséquences potentielles diverses, de la fuite de données privées à… l’attaque terroriste ! Voici les quatre principales.

"Ces données ont une valeur élevée pour les assureurs"

Les informations du véhicule en disent long sur le comportement d’un conducteur ou sur sa responsabilité en cas de sinistre, pour Assuralia.

Porte-parole d’Assuralia, Wauthier Robijns ne cache pas le grand intérêt que porte l’Union professionnelle des assurances aux données de bord des véhicules. "Ce sont des informations importantes et dont la valeur est élevée. Notre souhait est que les automobilistes soient seuls maîtres de leurs données et puissent consentir à nous en donner l’accès, sans intervention des constructeurs." Autrement dit, sans que les constructeurs ne puissent monnayer ces informations.

L’intérêt pour les entreprises d’assurance est double. Un, les données de conduite permette de savoir à quel type d’automobiliste elles ont affaire, notamment parmi les jeunes. "Est-il cool au volant ou plutôt hargneux ?", résume Wauthier Robijns. Le profil permettrait d’adapter la prime d’assurance d’un client en fonction de sa manière de conduire.

Deux, en cas d’accident, la technologie embarquée pourrait être d’un précieux secours aux assureurs et aux experts automobiles. "Savoir si, au moment d’un sinistre, le clignotant fonctionnait, la vitesse était élevée, le téléphone activé ou les feux éteints serait potentiellement utile pour déterminer les responsabilités", confesse Wauthier Robijns.

Contrôlée à distance, l’auto se mue en arme

Faille n°3 Mal protégé, un véhicule pourrait être conduit à distance. Et foncer dans la foule ?

Le port OBD, présent dans chaque voiture, permet à votre garagiste d’y brancher un ordinateur qui établit le diagnostic du véhicule avant de se mettre au travail. Cette entrée au cœur du système de l’automobile n’est pas sécurisée, ont constaté les chercheurs de Glasgow.

Quelle vulnérabilité ? "On a constaté que les communications entre les composants ne sont pas chiffrées. C’est une problématique qui touche l’ensemble des marques." C’est d’autant plus criant que certains automobilistes se laissent abuser par la vente, sur Internet, d’une sorte de clé à apposer sur ce port OBD et supposée permettre au véhicule de gagner en puissance, de l’ordre de deux ou trois chevaux : cet outil pourrait infester le système.

Quels risques ? "Dans l’absolu, ce n’est pas un gros problème en soi. Mais, sachant qu’on parle par exemple de la communication entre la pédale d’accélérateur et le moteur, on peut imaginer qu’un hacker prenne le contrôle d’un véhicule à distance" et modifie en pleine circulation sa trajectoire ou sa vitesse. Le Dr Bellekens va plus loin, en songeant aux voitures autonomes, sans pilote, et à l’attentat terroriste de Nice, où un camion avait foncé dans la foule, provoquant la mort de 86 personnes. "Récemment, à Athènes, lors d’un colloque de l’Agence européenne de la sécurité des réseaux et de l’information (Enisa), la question a été posée : peut-on tourner un véhicule ou un camion en une arme ? Il a été répondu que le risque potentiel existait."

Quelle solution ? La réflexion est en cours. La vulnérabilité a été mise au jour. Le risque réel qu’elle puisse être exploitée n’est pas encore précisément mesuré.

L’infodivertissement : vos données personnelles en accès "public"

Faille n°4 Localisation GPS, appels GSM, Facebook, e-mail : l’ordinateur de bord est insécurisé

L’analyse des chercheurs écossais conduits par le Dr Xavier Bellekens a mené à cette autre conclusion : l’interface infodivertissement (ou "infotainment") n’est, pour une bonne part, pas suffisamment sécurisée.

Quelles vulnérabilités ? Un certain nombre d’informations que l’on communique avec son véhicule sont potentiellement en accès "public". Vitesse, localisation, destination, appels et répertoire téléphoniques, tout est à disposition d’un hacker potentiel qui y trouverait un intérêt.

Quels risques ? La vente de données personnelles à des fins publicitaires, de l’espionnage industriel ou politique, le traçage pour raison d’ordre privé, etc. "Ce ne sont que des scénarios. Mais ils doivent être pris en compte pour avoir une idée de l’impact potentiel sur le grand public."

Quelles solutions ? Skoda et VW prennent cela très au sérieux, selon l’expert. "Ils proposent des solutions. Cela impliquera de restreindre l’accès public de certains ports informatiques ?" Mais, prévient l’expert belge, la solution passera par une mise à jour des logiciels, ce qui implique différentes contraintes "à l’échelle mondiale, parce que les applications et services offerts ne sont pas les mêmes en Europe, aux USA ou en Asie. Ce sont des solutions qui peuvent prendre du temps avant d’être appliquées."