Une équipe de chercheurs américains dirigée par les professeurs Stefan Savage de l'Université de San Diego et Tadayoshi Kohno de l'Université de Washington ont voulu tester la résistance des systèmes informatiques équipant les voitures modernes. Le résultat est une sécurité minimale, quasiment tous les systèmes de la voiture étant facilement contrôlables par un pirate, le papier précisant : « on ne sait pas si les constructeurs ont anticipé la possibilité d'une attaque dans leurs designs ou non ».
Et heureusement que ces voitures ne sont dans leur majorité pas encore reliées à Internet, sinon les piratages de voitures seraient encore plus fréquents. Pour l'instant, pour réaliser l'attaque il faut arriver à se connecter physiquement au réseau des équipements électroniques de la voiture. Aux États-Unis les ports standards (et obligatoires) On-Board Diagnostics (OBD-II) situés sous le tableau de bord donnent accès à tous les systèmes embarqués. En Europe le standard est appelé E-OBD, mais est tout aussi facile d'accès :
Une voiture moderne embarque typiquement entre 50 et 70 ordinateurs indépendants reliés entre eux (nommés ECU - Electronic Control Units) dans le langage des constructeurs).
En injectant du code, ou même parfois de simples paquets corrompus, les chercheurs ont réussi a contrôler tous ces ECU, et donc presque tous les systèmes de la voiture : freins, moteur, ceintures de sécurité, lumières, chauffage et climatiseur, indicateurs du tableau de bord... Ils utilisent pour ça un programme qu'ils ont codé spécialement pour l'occasion : CarShark. Par exemple avec un code de seulement 200 lignes nommé "self-destruct" ils peuvent provoquer l'affichage d'un compte à rebours sur le tableau de bord. Dans les dernières secondes le klaxon s'affole, et à 0 le moteur s'éteint et les portes se ferment à clé. D'après le papier, le plus lourd dans le code a été de coder le chronomètre...
Toutes les voitures modernes sont aussi peu protégées, les chercheurs n'ont donc pas révélé le modèle qu'ils ont utilisé pour ne pas causer de tort au constructeur (bien qu'on la voit clairement sur les photos).
Leur conclusion est que le danger est pour l'instant faible, un accès physique à la voiture combinée à de solides compétences électroniques étant nécessaires. Mais les voitures étant de plus en plus connectées à Internet et entre elles, il va être indispensable que les constructeurs commencent à intégrer une sécurité solide à leurs systèmes électroniques embarqués. Sous peine de laisser une ouverture à des pirates malveillants voulant prendre le contrôle d'un véhicule, ou voulant diffuser un virus pouvant être extrêmement dangereux pour la sécurité des usagers de la route.
Et heureusement que ces voitures ne sont dans leur majorité pas encore reliées à Internet, sinon les piratages de voitures seraient encore plus fréquents. Pour l'instant, pour réaliser l'attaque il faut arriver à se connecter physiquement au réseau des équipements électroniques de la voiture. Aux États-Unis les ports standards (et obligatoires) On-Board Diagnostics (OBD-II) situés sous le tableau de bord donnent accès à tous les systèmes embarqués. En Europe le standard est appelé E-OBD, mais est tout aussi facile d'accès :
Une voiture moderne embarque typiquement entre 50 et 70 ordinateurs indépendants reliés entre eux (nommés ECU - Electronic Control Units) dans le langage des constructeurs).
En injectant du code, ou même parfois de simples paquets corrompus, les chercheurs ont réussi a contrôler tous ces ECU, et donc presque tous les systèmes de la voiture : freins, moteur, ceintures de sécurité, lumières, chauffage et climatiseur, indicateurs du tableau de bord... Ils utilisent pour ça un programme qu'ils ont codé spécialement pour l'occasion : CarShark. Par exemple avec un code de seulement 200 lignes nommé "self-destruct" ils peuvent provoquer l'affichage d'un compte à rebours sur le tableau de bord. Dans les dernières secondes le klaxon s'affole, et à 0 le moteur s'éteint et les portes se ferment à clé. D'après le papier, le plus lourd dans le code a été de coder le chronomètre...
Toutes les voitures modernes sont aussi peu protégées, les chercheurs n'ont donc pas révélé le modèle qu'ils ont utilisé pour ne pas causer de tort au constructeur (bien qu'on la voit clairement sur les photos).
Leur conclusion est que le danger est pour l'instant faible, un accès physique à la voiture combinée à de solides compétences électroniques étant nécessaires. Mais les voitures étant de plus en plus connectées à Internet et entre elles, il va être indispensable que les constructeurs commencent à intégrer une sécurité solide à leurs systèmes électroniques embarqués. Sous peine de laisser une ouverture à des pirates malveillants voulant prendre le contrôle d'un véhicule, ou voulant diffuser un virus pouvant être extrêmement dangereux pour la sécurité des usagers de la route.
