Le piratage de voitures en série semble loin d’être terminé pour cet été. Depuis quelques semaines, on assiste en effet aux prouesses techniques de chercheurs en sécurité. La dernière fois c’était une Jeep Cherokee qui faisait les frais de leurs expérimentations. Cette fois, ce sont les failles de sécurité d’un accessoire pour connecter la voiture d’origine française qui ont été exploitées pour pirater une Corvette.

Chevrolet Corvette

L’entreprise française Mobile Devices mise en cause

MAJ. Depuis la parution de notre article, la société française Mobile Devices nous a contactés afin de nous donner plus d’informations sur la révélation de cette faille de sécurité (voir en fin d’article).

Début août, la Black Hat Conference réunissait à Las Vegas les pontes de la sécurité sur Internet autour de sujets aussi variés que « Comment pirater un fusil à distance ? » ou encore « Comment pirater une Jeep Cherokee à distance ? » et autres assertions autour de la vulnérabilité des objets connectés. Le 11 août, à  l’Usenix Conference cette fois (un séminaire associatif d’ingénieurs, d’administrateurs systèmes, scientifiques et techniciens informatiques), a eu lieu une démonstration menée par Karl Koscher et Ian Foster, deux chercheurs en sécurité. L’objet de leur expérimentation : un dongle OBD, l’OBD2 de Mobile Devices, un accessoire destiné à obtenir des informations sur sa voiture vers son smartphone grâce à une application. On peut ainsi recueillir des données sur le niveau d’essence, l’état de la batterie, un mapping GPS de ses trajets entre autres informations.

OBD 2 Dongle Mobile Device

Le dongle OBD2, l’accessoire mis en cause par les chercheurs en sécurité

Cette fois, les chercheurs, à l’instar de Charlie Miller et Chris Valasek qui étaient parvenus à piloter à distance une Jeep Cherokee, mais sans intervention d’accessoire connecté, ont utilisé cet accessoire conçu par la société française Mobile Devices pour pirater une Corvette. Mobile Devices conçoit des accessoires pour la voiture et est distribuée à San Francisco par Metromile. Cette entreprise propose des tarifications d’assurances pour véhicules en fonction de la consommation kilométrique. Metromile équipe notamment les flottes de véhicules des conducteurs d’Uber aux États-Unis avec cet accessoire afin d’obtenir des données en temps réel sur chacune des voitures en circulation. Voici une démonstration de ce qu’il est possible de faire pour un pirate après avoir pluggé un dongle OBD2 de la société Mobile Devices sur le tableau de bord d’une Corvette :

Lien Youtube
Chaine Youtube FrAndroid

Comment hacker les essuie-glace et les freins d’une Corvette en quelques minutes ?

Comment les chercheurs ont-ils procédé ? Après avoir acheté un OBD2 chez Mobile Devices (disponible à l’unité pour 149 dollars), ils ont pluggé le système au tableau de bord et ont ainsi pu piloter le réseau interne de la voiture après avoir envoyé des SMS via l’application. Ceci leur a permis notamment de piloter les essuie-glace et les freins.

« Nous avons acheté l’un de ces trucs, nous avons détourné son usage, et dans le même temps trouvé que cet appareil était truffé de failles de sécurité« , précise Stefan Savage, un enseignant en sécurité à l’Université de Californie de San Diego,  à l’origine du projet. Selon lui, l’accessoire de Mobile Devices permet de commander à distance à peu près tout ce qui est connecté dans un véhicule.

Des milliers de véhicules concernés

Lorsque les chercheurs en sécurité ont procédé à leur attaque sur une Corvette 2013, ils ont remarqué qu’ils auraient pu adapter leur attaque à tout type de véhicule moderne et qu’ils auraient pu ne pas se limiter aux freins et aux essuie-glace, mais également aux loquets de portière, au volant et autres organes vitaux de la voiture. Des milliers de véhicules sont concernés, et pas seulement des Corvette, par l’implantation de ce système, notamment des flottes de véhicules Uber, aux États-Unis. Alertée en juin par les chercheurs, la société Metromile a fourni une mise à jour de sécurité conçue par Mobile Devices. Mais les chercheurs ont remarqué que d’autres flottes de véhicules dans le monde pourraient être affectées par cette problématique, et notamment en Espagne, avec Coordina, une boîte de localisation GPS de flottes de véhicules. D’autres entreprises utilisant ce système vont devoir procéder à des mises à jour et correctifs pour éviter d’être inquiétées dans ce genre d’affaires. Mais pour les chercheurs, le meilleur moyen d’éviter ce type de piratage, c’est encore de ne pas plugger d’accessoire vulnérable sur son véhicule.

Andy Greenberg

Andy Greenberg, journaliste de Wired perdant le contrôle de son véhicule lors d’une attaque à distance

Aux États-Unis, le problème pourrait s’étendre vers le grand public, tandis que la Maison Blanche a encouragé en mars les agences fédérales possédant des flottes de plus de vingt véhicules à équiper leurs voitures de ces systèmes de télématique dès que possible, pour améliorer les performances des engins. Ainsi, plusieurs milliers de véhicules d’État pourraient posséder ce type de système dans le futur. De quoi régaler les pirates et donner du grain à moudre aux chercheurs en sécurité pour mettre à jour régulièrement la sécurité de ces véhicules.

Mobile Devices

Extrait du site de Mobile Devices « Transformez votre voiture en ordinateur télécommandé »

Droit de réponse de la société française Mobile Devices

Contactée par téléphone, la société française Mobile Devices a éclairé notre lanterne au sujet de cette faille révélée par le magazine WIRED. C’est le PDG de la société basée à Villejuif historiquement, mais dont les produits sont distribués aux États-Unis, Aaron Solomon, qui nous a contactés. « De manière générale, le dongle peut être utilisé avec un mode développeur. On peut faire énormément de choses avec, notamment envoyer des SMS, le modifier… il y a un mode programmeur-développeur qui est rempli de failles de sécurité voire qui possède une appli buguée. Ce type de produits est spécifiquement dédié aux tests. Pour les autres, nous fournissons le produit avec un mécanisme sécurisé, pour nos clients intégrateurs. Certains de nos clients passent progressivement du mode test au mode classique, lorsqu’ils équipent leurs flottes de véhicules, mais ça n’est pas toujours fait correctement. Le seuil de sécurisation est à fixer par eux. On a à présent compris que c’était important que nous le traitions en amont. Nous sommes en train de définir des règles de sécurité en ce moment. Nous nous donnons dix jours pour identifier les flottes de véhicules équipées et intervenir. »

Aaron Solomon, PDG de Mobile Devices précise que lorsque le patch de sécurité sera en place, il s’activera dès le redémarrage, et si le redémarrage n’est pas effectué dans les 24 heures, celui-ci sera forcé. Depuis 2010, Mobile Devices commercialise environ 10 000 pièces de dongles OBD par an. Depuis 2013, l’activité s’est intensifiée avec des ventes équivalentes réalisées chaque mois. 100 000 dongles OBD ont été vendus cette année déjà. Aaron Solomon évoque la démocratisation d’un système de diagnostic pour la pollution, la température du véhicule ou autres données qui devient de plus en plus simple à équiper et offre des perspectives phénoménales telles que le contrôle technique à distance ou autres actions sur le véhicule qui seront à terme très utiles pour le consommateur. À condition d’être sécurisé, bien entendu. Jusqu’à présent, cet outil était essentiellement du ressort des garagistes. La simplification des systèmes devra donc s’accompagner de sécurités bien pensées et adaptatives.