Le cas des voitures connectées piratées se multiplie. Des chercheurs en sécurité viennent de trouver le moyen de prendre le contrôle à distance la Mitshubishi Outlander grâce à son réseau Wi-Fi. Cette fois-ci, le hack est moins impressionnant que certains autres exploits, mais à le mérite de remettre sur le devant de la scène le risque que font peser les voitures connectées mal sécurisées.

nouveau-outlander-phev-33

L’année dernière, des experts en sécurité avaient réussi à pirater, à distance (à plusieurs kilomètres de la voiture), une Jeep Cherokee, grâce à sa connexion cellulaire et des failles de sécurité. Cette fois-ci, des chercheurs ont mis la main sur une Mitshibishi Outlander et ont réussi à la pirater, à distance, mais à seulement quelques mètres de la voiture. Pour mieux comprendre, précisons que ce véhicule émet un réseau Wi-Fi au sein de la voiture, qui permet à l’utilisateur de prendre la main sur certaines fonctionnalités (lumières, alarme, etc.) une fois que son smartphone est connecté à ce réseau Wi-Fi.

Une manière étonnante de fonctionner – sûrement pour des raisons de coût – face à d’autres solutions qui intègrent une puce GSM au sein de la voiture, qui communique avec le téléphone de l’utilisateur (sans condition de distance) par l’intermédiaire d’un serveur Web sécurisé et hébergé par le constructeur ou un prestataire.

Accéder à la voiture par le Wi-Fi

La solution mise en œuvre par Mitsubishi paraît largement moins sécurisée pour les chercheurs puisqu’ils ont réussi à casser le mot de passe Wi-Fi du point d’accès de la voiture en 4 jours, avec 4 GPU. Les hommes ajoutent qu’avec des serveurs dans le cloud, ce délai pourrait être largement diminué. L’inconvénient d’émettre un réseau Wi-Fi (visible par tous) est de permettre à d’éventuels pirates de repérer les voitures vulnérables par l’intermédiaire des services qui répertorient la position géographique des réseaux Wi-Fi.

Une fois connectés au réseau de la voiture, les chercheurs peuvent réaliser tout un tas d’actions problématique pour le propriétaire de la voiture, comme laisser les phares allumés ou allumer la climatisation afin décharger totalement la batterie, par exemple. Le plus dangereux, c’est la possibilité de désactiver l’alarme qui est censée protéger le véhicule.

Un piratage limité

Toutefois, les hommes n’ont pas réussi à déverrouiller les portières à distance. Pour pénétrer dans l’habitacle, il faut donc parvenir à casser une vitre (ou réussir à crocheter les serrures). Une fois au sein de la voiture, les chercheurs laissent sous-entendre qu’il serait possible de créer une clef électronique grâce au port OBD du véhicule afin de repartir avec. Mitsubishi prévoit de déployer un nouveau firmware pour renforcer la sécurité et recommande aux utilisateurs de désactiver le point d’accès Wi-Fi en attendant.

Le piratage de la Mitsubishi a toutefois ses limites, puisqu’il faut s’approcher de la voiture physiquement pour tenter de pirater le mot de passe Wi-Fi avec le téléphone du propriétaire connecté au réseau. Difficile puisqu’à la maison, le téléphone a davantage tendance à se connecter au réseau Wi-Fi domestique. Le piratage de la Mitshubishi n’est donc pas impossible, mais beaucoup trop difficile pour être mis en œuvre rapidement et par le plus grand nombre.