Avant, il y avait des voleurs de voiture, mais ça c’était avant, maintenant ce sont les pirates informatiques qui s’y attaquent

Atlantico : Concrètement, comment procèdent ces nouveaux voleurs ?

Jean-Paul Pinte : L’ère de l’Internet des objets est à peine né qu’il ne semble épargner aucun secteur de l’économie. Celui de l’automobile ou de la voiture connectée a ouvert le bal à en croire Omar Ramos-Lopez, un ancien employé d’une concession automobile d’Austin, au Texas qui s’est vengé en piratant le système informatique de son ancienne entreprise. Il a ainsi pu bloquer le démarreur et parfois faire fonctionner le klaxon de plus d’une centaine de véhicules. Et tout ceci à distance !

Aujourd’hui, les systèmes embarqués représentent au moins 20% de la valeur d’un véhicule, et probablement 30% à 35% d’ici 2015.

Ces systèmes électroniques sont gérés par une unité de contrôle électronique (ECU), une sorte d'ordinateur responsable de fonctions sécuritaires liées à la conduite (système antidérapage, de freinage). On peut aussi faire un clin d’oeil aux machines intelligentes sur roues que sont les voitures autoguidées comme la Google Car.

A partir de là imaginez la suite car tout demeure alors possible et nous n’en sommes qu’au début.

Avant il fallait se procurer les valisettes de paramétrage des véhicules par des moyens tels que le vol ou le détournement de matériel. Aujourd’hui, c’est bien plus simple car Internet et ses nombreuses applications ne font que s’adapter à l’évolution des nouvelles fonctionnalités à bord des voitures et seront couplées à coup sûr à ces dernières. De plus, pas besoin d’être un génie car il est facile de se procurer le matériel nécessaire et peu cher sur la toile.

Quelques minutes d'installation et le tour est joué. Le petit boîtier sera même parfois installé sous la voiture sans avoir à entrer dans l'habitacle ou à ouvrir le capot, suivant le véhicule visé.

Pour le CHT, acronyme de "CAN Hacking Tool", il se doit d’être être physiquement connecté au réseau interne de la voiture via le bus CAN (Controller Area Network). Il peut ensuite être contrôlé à distance et déclenché selon une durée choisie pour se livrer, de suite, ou ultérieurement à un tas de manipulations selon le modèle de la voiture.

En février, deux chercheurs espagnols ont présenté le "CAN Hacking Tool" qui offre les fonctionnalités nécessaires au piratage d'un véhicule pour une somme avoisinant les 15 euros.

Est-ce aujourd'hui à la portée de tout le monde pouvoir pirater une voiture ? Est-ce si facile que cela ?

On ne peut pas dire que cela soit aussi facile que l’on puisse le laisser entendre car il est nécessaire tout de même d’avoir quelques compétences informatiques. Les expériences se partagent aussi sur la toile autour de ces sujets de piratage de voiture et il n’est pas rare, si l’on a du  temps, comme c’est le cas pour ce profil de cyberdélinquant de retrouver des conversations relatant des essais par exemple, voire même des schémas illustrant les manipulations.

Quels sont les éléments du véhicule dont les hackers pourraient prendre possession ? Et quels en sont les dangers ? 

Il y a fort à parier qu’avec l’avènement de l’informatique embarquée sur nos véhicules, toutes les fonctionnalités du véhicule seront vulnérables.  Les freins, les phares, les équipements du tableau de bord ont déjà été les fruits de plusieurs attaques.

Les malfaiteurs vont même aujourd’hui jusqu’à choisir le type de véhicule qu’ils souhaitent manipuler ou voler car la vulnérabilité de leurs systèmes électroniques et leur valeur marchande élevée en font des proies de choix pour ces derniers.

Les systèmes de géolocalisation du véhicule sont aussi des cibles qui ne manqueront pas d’intéresser ces personnes mal intentionnées. Ceci au même titre que Les tablettes de style "i-pad" qui font aussi faire leur apparition, à bord des voitures !

Enfin, tous ces systèmes disposeront inévitablement de connexions aux réseaux de télécommunications (Wi-Fi, Bluetooth, 4G). Donc pirater une voiture c’est possible et je vous recommande vivement la lecture de cet article du Journal Le Monde.

A quoi est-ce du, exactement ? Peut-on parler de négligence des producteurs qui n'ont pas pris conscience de l'ampleur du risque ?

On ne peut parler de négligence mais plutôt de décalage par rapport à des technologies en constante évolution et dont on aurait pas mesurer le risque numérique dans le temps. Cela a été le cas d’Internet qui a été pensé à ses débuts sans en envisager sa sécurité.

Les producteurs vont devoir se mettre au goût du jour de la cybersécurité et envisager des parades que l’on ne pourra bientôt plus considérer comme des options mais comme des conditions nécessaires à la sécurité du véhicule.

Il n’y a aucun doute que les compagnies d’assurance emboîteront le pas et inciteront ces producteurs à aller dans le sens d’un cybersécurité des véhicules. Comme disait un certain constructeur pour vanter sa marque il y a quelques années "il faudra inventer la vie qui va avec (ces évolutions)…"

Est-il possible de protéger son véhicule ? Comment s'y prendre ?

A moins de rester dormir dans sa voiture peu de solutions existent à ce jour en dehors de la vidéo-surveillance qui est déjà disponible pour les véhicules au même titre que celle de nos maisons.

On peut ainsi imaginer que la caméra permettrait de filmer la route ou vous-même. Couplée  à une application Smartphone, elle vous signalerait  alors une intrusion ou une manipulation de votre véhicule. Bref, ces caméras existent déjà en France comme les "road eyes cam".

Un système d’alerte, sûrement déjà en fabrication, chez certains de nos constructeurs et différent d’un voyant sur le tableau de bord (Peut-être lui-même déjà "hacké") pourrait aussi vous avertir d’un éventuel dysfonctionnement du système électronique.

Je ne m’inquiète pas aujourd’hui du niveau d’inventivité qui ne manquera pas d’exister autour de cette problématique chez les constructeurs. Simplement de noter que ces derniers  auront à veiller sur l’évolution des pratiques des cybercriminels dans le domaine du "Car-hacking".