La vidéo publiée par le magazine Wired peut donner des sueurs froides aux conducteurs. Elle montre Andy Greenberg, journaliste spécialisé en nouvelles technologies, conduire une Jeep Cherokee (Chrysler) sur l’autoroute pendant que deux hackeurs piratent à distance les systèmes informatiques de son véhicule. Sous les yeux du conducteur impuissant, ils parviennent par exemple à allumer la radio, à monter le volume au maximum et à faire marcher les essuie-glaces. Bien plus grave : ils réussissent à couper le moteur, laissant le chauffeur incapable de redémarrer le véhicule.

Lors d’une seconde démonstration sur un parking, les deux experts en sécurité informatique Charlie Miller (ingénieur en sécurité chez Twitter) et Chris Valasek (chercheur spécialisé sur les véhicules pour une entreprise de sécurité informatique) prennent à nouveau le contrôle du véhicule, toujours depuis un ordinateur. Cette fois, ils parviennent à couper les freins de la Jeep, ce qui envoie la voiture dans un petit fossé. Dans certaines conditions, les deux chercheurs sont même capables de prendre la main sur le volant.

Avec ces démonstrations, les deux chercheurs comptent mettre l’accent sur les risques créés par la multiplication des outils informatiques connectés à Internet dans les voitures. Dans ce cas précis, Charlie Miller et Chris Valasek se sont appuyés sur le système Uconnect, « un ordinateur connecté à Internet présent dans des centaines de voitures Fiat Chrysler et camionnettes, qui contrôle la navigation et les outils multimédias du véhicule, permet de téléphoner et offre même un hot spot Wi-Fi », explique Wired.

Ils ont exploité une faille permettant d’entrer dans ce système, à condition de connaître l’adresse IP de la voiture et de passer par le réseau d’un opérateur mobile spécifique. Une fois dans Uconnect, les deux chercheurs ont trouvé le moyen d’accéder à d’autres systèmes informatiques du véhicule et de s’attaquer ensuite à ses mécanismes physiques comme les freins ou le moteur.

La majorité des Jeep vulnérables « risquent de le rester »

Charlie Miller et Chris Valasek ont fait état de leurs recherches à Chrysler, avec qui ils échangent depuis neuf mois, indique Wired. Si Fiat Chrysler Automobiles n’a pas explicitement reconnu l’existence de la faille, elle ne l’a jamais niée et, surtout, le constructeur a mis à disposition de ses clients un patch de correction le 16 juillet. Le magazine indique cependant que la procédure nécessite d’utiliser une clé USB ou de se rendre chez un professionnel. « Cela signifie que beaucoup – si ce n’est la majorité – des Jeep vulnérables risquent de le rester », affirme Andy Greenberg. Les chercheurs estiment aujourd’hui à 471 000 le nombre de véhicules concernés par la faille qu’ils ont découverte.

Les deux hackeurs comptent bientôt publier les résultats de leurs recherches, en prenant soin de ne pas publier certains aspects de leur travail afin d’éviter que des pirates malveillants ne s’en servent immédiatement. Une démarche qui inquiète Chrysler qui, à demi-mot, a confirmé les conclusions des chercheurs : « Chrysler ne tolère ni ne trouve appropriée dans aucune circonstance la diffusion d’un “guide” qui pourrait potentiellement encourager ou aider des pirates à prendre illégalement et sans accord le contrôle d’une voiture », a indiqué l’entreprise au magazine. Pour les deux chercheurs, cette découverte doit faire office d’avertissement pour les fabricants. « C’est peut-être le bug logiciel le plus susceptible de tuer quelqu’un », explique Charlie Miller.

Des constructeurs en retard

Lui et son collègue n’en sont pas à leur première démonstration. Les deux chercheurs avaient commencé à travailler sur les voitures connectées en 2012. L’année suivante, ils avaient fait une démonstration en se branchant sur le tableau de bord d’une voiture et en désactivant ses freins. En 2014, ils avaient passé au crible les manuels techniques de plusieurs véhicules et tenté de les classer du plus facilement piratable au mieux protégé. Parmi les plus vulnérables, on trouvait notamment la Jeep Cherokee mise à l’épreuve dans la dernière vidéo de Wired.

Aujourd’hui, les deux experts continuent de pointer du doigt les risques que doit affronter l’industrie automobile. L’an dernier, Chris Valasek s’inquiétait que les constructeurs ajoutaient régulièrement des nouveaux outils sans prendre en compte les risques pour la sécurité. « Les vulnérabilités que l’on trouve sont du genre de celles qui existaient sur PC du début au milieu des années 1990, quand les ordinateurs commençaient à se connecter à Internet », expliquait en 2013 le chercheur Stefan Savage, au magazine Forbes.

Le sujet inquiète en tout cas les autorités puisque, aux Etats-Unis, les sénateurs Ed Markey et Richard Blumenthal ont laissé entendre mardi qu’ils voulaient introduire une loi imposant de nouveaux standards de sécurité informatique aux constructeurs vendant des véhicules sur le territoire américain. « Les conducteurs ne devraient pas avoir à choisir entre être connectés et être protégés », a affirmé Ed Markey dans un communiqué envoyé à Wired.

Selon le cabinet IHS, 36 millions de voitures connectées sont actuellement en circulation, un chiffre qui pourrait dépasser les 150 millions d’ici à 2020. Les constructeurs annoncent les uns après les autres de nouvelles fonctionnalités, comme par exemple la transposition de son smartphone sur le tableau de bord de sa voiture. Et les géants du Web comme Apple et Google sont aussi entrés dans la danse et se battent pour installer leurs systèmes respectifs chez les constructeurs… Avant de proposer au marché leurs propres automobiles.

Lire aussi La voiture connectée très convoitée