Nous venons d’assister à une véritable tempête médiatique dans l’univers de la sécurité informatique. En effet, pour la première fois dans l’histoire, des chercheurs ont rapporté une vulnérabilité liée à la prise de contrôle à distance d’une voiture connectée. Kaspersky Lab explique  la cause probable de la faille et donne ses recommandations pour éviter que de tels incidents se reproduisent.

« L’attaque à distance a été effectuée sur l’ordinateur de bord d’un Jeep Cherokee. Charlie Miller et Chris Valasek auraient trouvé une vulnérabilité dans le système de divertissement. Ainsi, grâce à cette vulnérabilité, ils ont non seulement eu accès à des paramètres non critiques, mais ont également pu prendre le contrôle de la voiture. Dans un premier temps le conducteur de la voiture ne pouvait plus contrôler les essuie-glaces, le système de climatisation, la radio et les vitres latérales. Puis la voiture est passée sous le contrôle des chercheurs, en lieu et place du propriétaire.

Apparemment, la vulnérabilité a été trouvée dans le système embarqué Uconnect, système qui fonctionne via l’opérateur de téléphonie mobile Sprint afin de communiquer avec le monde extérieur de Fiat Chrysler Automobiles (FAC). Si les rapports sont corrects, l’attaque prouve qu’il suffit de connaître l’adresse IP externe de la cible, afin de réécrire le code de l’ordinateur de bord de la voiture et ainsi en prendre le contrôle à distance. Des vulnérabilités peuvent être trouvées partout où il y a un système d’exploitation et des applications installées. Cependant, afin de protéger les voitures, les fabricants devraient penser à leur sécurité de la même manière que nous devrions tous aborder la sécurité des réseaux d’entreprise ou celles des ordinateurs.

Chez Kaspersky Lab, nous pensons que pour éviter de tels incidents, les fabricants devraient construire une architecture intelligente dédiée aux voitures, en ayant en tête deux principes fondamentaux : l’isolement et les communications contrôlées. L’isolement signifie que deux systèmes séparés ne peuvent pas s’influencer l’un l’autre. Ainsi, le système de divertissement ne devrait pas pouvoir influer sur le système de contrôle de la manière dont il l’a fait ici avec le Cherokee. Des communications contrôlées signifient quant à elles que la cryptographie et l’authentification de la transmission et l’acceptation de l’information (à partir de / jusqu’à la voiture) devraient être pleinement mis en œuvre. En étudiant les résultats de l’expérience à laquelle nous avons assisté hier, il est clair que les algorithmes d’authentification étaient faibles / vulnérables, ou que la cryptographie n’a pas été correctement mis en œuvre ici.

 Le correctif de ce problème a été publié la semaine dernière. Toutefois, si vous conduisez une voiture FCA, nous vous recommandons de contacter votre revendeur afin de lui demander qu’il vous installe toutes les mises à jour nécessaires.»

________

Sergey Lozhkin, chercheur en sécurité au sein de l’équipe de recherche et d’analyse (GReAT) du spécialiste en sécurité Kaspersky Lab