Les mauvaises notes s’entassent pour les véhicules connectés. Comme si les critiques virulentes à la Black Hat USA 2015 ne semblent pas suffire, des experts ont établi en public l’existence des vulnérabilités sur « les boîtes noires ». Les assureurs sont déjà au courant de la situation et certains en profitent.
Des failles touchant plusieurs modèles…
On n’a pas encore digéré le piratage en public d’un Jeep Cherokee lors de la Black Hat. En parallèle, une équipe de chercheurs est récemment parvenue à démontrer l’existence de failles sur les boîtes noires de diverses voitures connectées. A l’occasion de la conférence Usenix de San Diego. BlackBerry semble donc avoir raison lorsqu’il a déclaré que la faille découverte sur le bijou de Chrysler n’est pas liée à son système d’exploitation embarqué. Le constructeur, de sa part, peut être soulagé en sachant que ses concurrents connaissent également des problèmes similaires sur leur véhicule connecté.
En exploitant les failles qu’ils ont préalablement trouvées, Stefan Savage et son équipe ont pu exercer une mainmise sur les principales fonctions d’un véhicule connecté, devant l’assistance de la conférence Usenix de San Diego. Ils ont cependant pris le soin de ne pas toucher l’ordinateur embarqué, préférant concentrer leurs attaques sur la boîte noire. Cette dernière rassemble en effet des informations que ne manquent pas d’exploiter des assureurs pour proposer une formule à leurs clients ou des entreprises disposant d’une flotte de véhicules.
Comme la Corvette 2013
Le marché est actuellement pris d’assaut par ces boîtes noires si chères aux véhicules connectés, connues également sous l’appellation « On Board Diagnostics » (OBD2). Le modèle ayant été mis en défaut à l’Usenix de San Diego est issu de Mobile Devices, une entreprise française. En y effectuant de la rétroingénérie, Stefan et ses collaborateurs ont pu entrevoir de nombreuses failles. L’une de ces dernières donne la possibilité de mettre la main à l’équipement SSH. Une autre permet d’éviter l’authentification lors de la réception de commandes par SMS. Elle a été celle exploitée par ces experts pour avoir un total contrôle à distance des principales fonctionnalités des véhicules présents à l’évènement, la Corvette de 2013.
Les nouvelles générations des boîtes noires épargnées ?
Metromile Pulse fait partie des clients de Mobile Devices et était ainsi récemment contraint de déployer un patch. Son cas n’est cependant pas singulier. Coordina, une société espagnole de gestion de flottes, a déclaré avoir mené en interne des expérimentations d’attaques de boîtes noires équipant ses véhicules. Ces expérimentations ont permis de noter que seules les anciennes versions sont vulnérables. Il est cependant important de le noter, une bonne partie des camions utilisés par les sociétés exerçant cette activité sont encore dotés d’OBD2 d’ancienne génération. Rien n’est à craindre, selon encore l’entreprise espagnole, en ce qui concerne l’attaque par SMS, grâce à l’utilisation de numéros privés. On ne peut cependant que se poser des questions sur la sécurité des véhicules électroniques, depuis le lancement d’une alerte concernant la Zubie en 2014.