Le magazine américain WIRED s’est offert une petite expérience de cybercriminalité en laissant deux hackeurs pirater une Jeep sur l’autoroute…avec son conducteur à l’intérieur ! Ce qui semble être drôle dès les premières minutes et permet de démontrer les failles de sécurité des voitures connectées s’est vite transformé en enfer pour un conducteur paniqué.

Pirater une voiture

Au début, ils ont seulement piraté l’image du tableau de bord…

« Ce n’est pas drôle de se faire hacker votre SUV de 2 tonnes alors que vous êtes en train de la garer en face d’un fossé » entame Andy Greenberg, rédacteur chez Wired ,tandis qu’on le voit jeter dans le fossé sa Jeep Cherokee, absolument contre son gré. Aoutch. La « blague » vient de Charlie Miller, Ingénieur Sécurité chez Twitter et Chris Valasek, Directeur en charge de la recherche pour la sécurité des véhicules chez Ioactive, deux hackeurs qui ont développé un logiciel permettant de pirater à distance une Jeep Cherokee.

Grâce à leurs ordinateurs, sans ajout de composants sur la voiture, et positionnés à plusieurs kilomètres de distance, Charlie et Chris ont réussi à donner des sueurs froides à Andy. Avant de s’engager sur la route, les chercheurs ont simplement prévenu le conducteur qu’ils ne feraient rien qui puisse menacer sa vie. Mais ils en auront fait suffisamment pour le rendre paranoïaque au sujet des failles de sécurité des véhicules toute sa vie, très probablement.

« J’avais déjà conduit un véhicule qui s’était fait pirater en 2013, mais les hackeurs étaient derrière moi, sur le siège arrière. » ajoute Andy, qui a tout de même accepté la récidive pour cette nouvelle expérience. Cette fois, les chercheurs ne sont même pas avec lui. Et tandis qu’il roule sur l’autoroute de Saint-Louis (Missouri – Etats-Unis), apparaît soudain sur son tableau de bord une image des deux hackeurs en jogging et sweatshirt. Il est encore temps d’en rire à ce moment.

Tableau de bord Jeep

Piratage de l’accélérateur, des freins, des loquets de portières…

Très vite, Andy ne s’amuse plus. Les hackeurs lancent les hostilités : « Allez, vas-y, tue ce véhicule ! » s’encouragent-ils. Après avoir monté le volume de la radio à fond, crachant à plein tube du hip-hop dans les oreilles du journaliste, et mis l’air conditionné à plein régime, ils prennent le parti de pirater l’accélérateur de la Jeep. Peu à peu, Andy Greenberg se retrouve coincé sur l’autoroute, les voitures et camions le dépassent et klaxonnent. Lorsqu’il leur demande de l’aide, ils répondent : « Ça ne marchera pas tu es foutu ! Tu es obligé de t’arrêter et de redémarrer ! »

Dernière blague avant la fin. Lorsqu’Andy arrive sain et sauf sur le parking, il perd le contrôle des commandes, et doucement mais sûrement, après avoir pris soin de fermer les loquets de portière à distance, les deux hackeurs conduisent le véhicule vers le fossé…ou il finit son chemin.

Des failles dues à Uconnect, l’ordinateur de bord des Chrysler

Si cette action a été possible, c’est non seulement grâce au savoir-faire des hackeurs, qui ont développé leur logiciel, mais également à cause des failles des Chrysler, qui fait de son mieux pour connecter ses voitures. L’ordinateur de bord appelé Uconnect embarque de nombreuses fonctionnalités dans les Fiat Chrysler, les SUV et les camions, qui permet de contrôler la navigation du véhicule et les accessoires à bord (déclencher des appels, obtenir du wifi…). Grâce à l’identification d’un élément vulnérable dans la connexion cellulaire, les deux hackeurs sont parvenus à obtenir l’adresse IP de la voiture pour y accéder de partout dans le pays.

Les deux hackeurs n’ont pas gardé leur découverte pour eux, ils ont mené des conférences et ont pu alerter Chrysler au sujet des failles de son tableau de bord et de son système embarqué, qui a depuis dû sortir un patch de sécurité. Selon Chris  Valasek et Charlie Miller, ici, la blague a été suffisamment « soft » pour ne pas avoir de conséquences graves… mais elle a déjà démontré que les conséquences pouvaient être assez sérieuses pour alerter.

Depuis cet événement, Chrysler a été contraint de rappeler 1,4 million de véhicules ou en tout cas de fournir un correctif du logiciel à tous les propriétaires de ce modèle de Jeep Cherokee. Le constructeur automobile ayant été inquiété dans une affaire précédente et ayant tardé à rappeler près de 11 millions de véhicules risque une amende record de 105 millions de dollars.

 

Crédits Photos : Whitney Curtis – The Wired