Décryptage

Les voitures connectées : prochaines cibles des pirates ?

Posté le 22 mars 2022
par Philippe RICHARD
dans Informatique et Numérique

Des tests menés par l’association allemande des automobilistes a démontré que très peu de clés « sans contact » sont véritablement sécurisées. Le pire est-il à craindre demain avec la multiplication de voitures connectées ?

Il y a quelques semaines, l’ADAC a publié une enquête qui donne froid dans le dos. Sur 501 modèles de voitures avec une clé « keyless » analysés depuis 2016, seuls 23 disposent d’un bon niveau de sécurité. En clair, soit moins de 5 % donnent du fil à retordre à des voleurs de voitures placés à proximité.

Parmi les marques françaises, aucun modèle référencé par ADAC ne dispose d’un système de clés « keyless » sécurisé. Parmi les bons élèves, citons Jaguar, Land Rover, Audi, Seat, Skoda, Volkswagen, BMW et Mercedes.

Une faille connue depuis 2011

Un dispositif « keyless » permet en effet de déverrouiller et de démarrer un véhicule sans aucun contact, grâce à un signal de présence qu’elles émettent. Il suffit qu’un malfrat intercepte le signal pour obtenir un « double » de cette clé ! Selon ADAC, cette technique revient à environ 100 euros en matériel et logiciels.

Il existe différentes solutions permettant de « colmater » cette faille connue depuis 2011 et qui a été également exploitée pour pirater des cartes de contact et des cartes bancaires. La plus connue repose sur l’usage de pulsations à ultra large bande (UWB). Elles empêchent les attaques par relais, car elles établissent la communication sur une bande très large, ce qui complexifie la détection.

Cette technique radio permet à la voiture de détecter avec précision la distance à laquelle se trouve la clé. Si cette distance est de plusieurs mètres, la voiture ne se déverrouille pas ou ne démarre pas, même si le signal radio est prolongé. Cette technologie est également utilisée pour les AirTags d’Apple afin qu’ils puissent être localisés avec précision par les smartphones.

Malheureusement, cette technologie est encore trop rarement implémentée par les marques. Pour limiter les risques il est donc recommandé d’utiliser une petite canne qui bloque le volant ou d’installer un boîtier traceur GPS, et de ranger la clé dans un étui spécialisé anti-onde (de type cage de Faraday).

Cette affaire ne laisse rien présager de bon à l’avenir. « La sécurité des véhicules connectés est un sujet très important, car ils intègrent de plus en plus de canaux de communication avec le monde extérieur (liaison télécom avec d’autres véhicules ou avec le cloud pour des services multimédias) et à l’intérieur du véhicule (USB, Bluetooth, wifi…) », indique Guillaume Duc qui codirige la chaire Connected Cars and CyberSecurity à Telecom Paris.

Payer une rançon pour utiliser sa voiture

Ces véhicules sont aussi de plus en plus intelligents, car ils embarquent des fonctionnalités d’aide à la conduite ou de multimédias. Il y a donc de plus en plus de logiciels et de matériels embarqués. Cette intégration poussée entraine de facto une multiplication des risques de vulnérabilités et de portes d’entrée pour que des personnes malveillantes intègrent le réseau interne au véhicule.

Les équipementiers et les marques ont déjà pris un certain nombre de mesures de sécurité, mais aucun système n’est invulnérable pour une personne déterminée qui a beaucoup de temps et de moyens. « Il n’y a eu que des démonstrations d’attaques, comme en 2015 (avec une Jeep).  Mais très peu sont réellement mises en pratique dans la vie de tous les jours. On peut néanmoins craindre à l’avenir des attaques reposant sur des ransomwares : un pirate cryptera le système embarqué, ce qui empêchera le propriétaire du véhicule de l’utiliser. Ce dernier devra payer une rançon pour en reprendre le contrôle », avance Guillaume Duc.


Pour aller plus loin