Le Nouvel Automobiliste
Le Nouvel Automobiliste

FCA : Une mise à jour discrète pour contrer le piratage de Uconnect (vidéo)

Décidément, ce n’est pas la bonne période pour le groupe FCA (Fiat Chrysler Automobiles) : Deux hackers, Charlie Miller et Chris Valasek, ont réussi à pirater une Jeep Cherokee via le système Uconnect équipant une énorme partie des voitures du groupe fabriqués entre 2013 et 2015. Un patch a été déployé le 16 Juillet dernier afin de remédier au problème de sécurité, plutôt grave si l’on tient compte de ce qui va suivre.

Le système Uconnect a été piraté (mais comme on dit dans l’informatique, aucun système n’est imperméable), et le principal défaut était de laisser la possibilité à un pirate d’envoyer des commandes sur le CAN Bus, et donc contrôler la totalité du véhicule à distance. Pour information, la quasi-totalité des fonctions d’un véhicule passent à présent par le CAN Bus (bus Controller Area Network, un bus système série très répandu dans l’industrie, permettant de centraliser des connexions entres différents éléments afin de réduire le nombre d’interconnexions passé un certain stade de complexité. Résultat : on économise des kilos de câblages, et en passant ça permet de simplifier les commandes – regardez la réduction du nombre de boutons dans les habitacles pour vous en convaincre) : moteur, freins, transmission, autoradio, air conditionné, essuie-glace, tout y passe.

Du carjacking sans-fil ?

Là où ce genre de piratage était auparavant possible en branchant un ordinateur au CAN Bus (de la même façon qu’une valise constructeur en quelque sorte), l’exploit a été réalisé sur un seul véhicule avec un conducteur qui était au courant de ce qui allait se passer, sans pour autant savoir quel sort l’attendait car la seule chose qu’il savait, c’est qu’on allait le pirater en direct. Le problème est qu’il restait possible d’envoyer les commandes simultanément à tous les véhicules connectés (moteur en marche donc) : scénario catastrophe en vue avec la centaine de milliers de véhicules en circulation. Une petite vidéo de 5 minutes (en anglais) pour vous faire une petite frayeur : 

https://www.youtube.com/watch?v=u4FYPWyBV7s

Reste que comme dit plus haut, aucun système n’est réellement imperméable et la lutte contre le piratage des véhicules reste une des priorités des constructeurs (il n’y a qu’à voir les systèmes antivols et traçages de véhicules). Gageons que tous les autres constructeurs vont vérifier d’ici peu, si ce n’est déjà fait, la sécurité de leurs systèmes.

À noter qu’il a fallu un an au duo de hackers pour mettre au point leur programme permettant de mettre à jour silencieusement le firmware du système Uconnect ouvrant les accès à l’intégralité des systèmes embarqués, ce qui en soit laisse une certaine longueur d’avance aux autres constructeurs pour corriger les failles possiblement existantes, surtout qu’aux USA il est très fréquent que le service d’assistance aux conducteurs d’un constructeur puisse prendre la main sur le véhicule et le bloquer, redémarrer, bloquer le volant, etc… bref, exactement la même chose que l’exploit réalisé par le duo d’experts en sécurité. À l’aube de la voiture autonome, cette nouvelle n’est pas des plus rassurantes et il est fort probable que de nombreuses tentatives d’attaques seront légion.

Source : Wired, Engadget