Kaspersky lance la première attaque d’une voiture connectée

La toute dernière découverte de Kaspersky Lab a déclenché une véritable tempête médiatique dans le monde de la cybersécurité, régulièrement secoué. Cette fois, pas de systèmes d’informations, d’ordinateurs ou de terminaux mobiles, la vulnérabilité concerne les voitures connectées

 

Une voiture connectée prise pour cible par les cybercriminels

 

Charlie Miller et Chris Valasek, des chercheurs de la firme spécialiste des solutions de sécurité informatique Kaspersky, livrent les détails de la première attaque d’un véhicule connecté, une Jeep Cherokee. Pour en prendre le contrôle à distance, ils se sont introduits dans l’ordinateur de bord en exploitant une faille dans le système de divertissement.

 

Une fois entrés, ils ont pu accéder d’abord à un certain nombre de fonctionnalités (essuie-glaces, système de climatisation, la radio et les vitres latérales) jusqu’aux commandes de la voiture.

 

La faille ayant permis cet exploit se situait dans le système embarqué Uconnect, dispositif qui relie le véhicule à l’univers de Fiat Chrysler Automobiles (FAC) par le biais de l’opérateur de téléphonie mobile Sprint. Pour perpétrer l’attaque, le tandem n’a eu qu’à dénicher l’adresse IP externe de la cible et de modifier le code de l’ordinateur de bord afin de priver totalement le conducteur de contrôle.

 

Les recommandations de Kaspersky

 

Au vu de cette expérience aux résultats édifiants, pour l’éditeur russe, les constructeurs d’automobiles connectées doivent les considérer comme les réseaux informatiques classiques ou les ordinateurs ; tant que sont installés un système d’exploitation et des logiciels, quel que soit le type de support, le niveau de risque zéro n’existe pas.

 

Dans le cas particulier des voitures, Kaspersky Lab préconise, à titre préventif, que les fabricants mettent au point une architecture intelligente reposant sur deux piliers : l’isolement et le contrôle des communications. Le premier vise à empêcher qu’un système indépendant d’un autre puisse agir sur celui-ci ; pour en revenir à l’attaque, une telle protection aurait rendu impossible l’influence du système de divertissement sur le système de contrôle.

 

Quant aux communications contrôlées, elles impliquent des algorithmes d’authentification puissants complétés par une cryptographie suffisante afin de protéger toute information émise par la voiture ou envoyée vers elle. La démonstration menée par les deux chercheurs révèle sans doute possible la faiblesse de ces deux éléments essentiels.

 

Entretemps, le problème identifié par Kaspersky a fait l’objet d’un correctif. La société recommande aux propriétaires d’une voiture FCA d’approcher rapidement leur concessionnaire afin de s’assurer que les mises à jour nécessaires soient correctement effectuées.

 

 

Laisser un commentaire