Le marché de l’automobile est un enjeu économique majeur pour les pays occidentaux. Il faut vendre pour préserver des taux de croissance, et surtout innover, mot clef en marketing. De ce fait les véhicules sont bourrés d’électronique. Ils deviennent connectés, une magie qui fait vendre. Mais voilà, il y a un hic qui devient facilement un hack.
Tout véhicule est « piratable » ?
L’américain Sam Curry né en 1999 est, ce que l’on appelle un pirate éthique. Depuis l’âge de 12 ans, il chasse les bugs et en informe les sociétés concernées. Selon la « guardia school », école supérieure privée spécialisée dans la sécurité numérique « le piratage éthique désigne le processus par lequel un hacker bienveillant également baptisé “white hat” (chapeau blanc) accède à un réseau ou un système informatique avec les mêmes outils et ressources que son confrère malveillant, “black hat”, (chapeau noir) à la différence qu’il y est autorisé. »
Curry est spécialisé dans les failles de sécurité des applications web. Dans l’un de ses derniers blogs, il s’attaque aux failles de sécurité des voitures et des deux roues électriques. On peut y lire que lors d’une visite à l’université du Marylan, ses amis et lui-même n’ont pas pu s’empêcher de titiller les mobylettes électriques du campus. Il cite « à notre grande surprise, notre activité a eu comme conséquence que les phares et avertisseurs des mobylettes garées devant les bâtiments se sont mis en marche pendant 15 minutes. » Ils ont envoyé un rapport en ce sens aux constructeurs. Une des conclusions de leur analyse a été la découverte que la plupart des produits des cinq dernières années des constructeurs automobiles, contenaient des fonctionnalités identiques à celles des deux roues électriques. Curry et son équipe ont découvert plus d’une dizaine de portes d’entrée dans l’application d’interface de programmation d’applications (API). Cette dernière est « une interface logicielle qui permet de « connecter » un logiciel (ou un service) à un autre logiciel (ou service) afin d’échanger des données et des fonctionnalités », cordon ombilical qui unit le produit à son créateur.
Kia, Ferrari, Rolls-Royce, Porsche ?
En matière de piratage des voitures, il y a des antécédents célèbres comme en 2015 lorsqu’un journaliste spécialisé en sécurité informatique a été cobaye lors d’une expérience pratiquée par deux chercheurs américains démontrant que l’on pouvait prendre le contrôle d’une Jeep Cherokee à distance. En roulant à 100 km heure sur une autoroute, les pirates ont positionné la clim sur froid maximum, activé les essuie-glaces, mis la radio à fond sur une station de rock pour ensuite neutraliser l’accélérateur. Cela peut aller jusqu’au contrôle et à la neutralisation des freins. Entretemps le constructeur semble avoir résolu le problème.
Dans son blog de fin janvier dernier intitulé « Pirates du web contre l’industrie automobile : vulnérabilités critiques chez Ferrari, BMW, Rolls-Royce, Porsche et d’autres » il liste les vulnérabilités par constructeur. Sur cette liste on retrouve des marques très prestigieuses. En distillant de nombreux détails et en partie des éléments de code non critiques, Curry et son équipe soulignent que sur la plupart des marques de voitures on peut avoir accès à distance à de nombreuses fonctions réservées aux fabricants ou aux revendeurs agréés comme le déverrouillage des portières à distance. En révélant au moins 14 failles analogues sur des marques de véhicule, ils ont démontré qu’ils peuvent s’approprier et contrôler les paramètres informatiques de la voiture ainsi que les données de leurs propriétaires avec toutes les conséquences si ceux-ci tombent entre des mains criminelles. Ils pouvaient même changer le propriétaire de véhicules de luxe italiens ou prendre le contrôle de flottes entières de véhicules, y compris des véhicules de police, pompiers et autres. Le site « cyberscoop.com » conclut qu’ainsi ils pourraient avoir accès à 15.5 millions de véhicules. Selon ce site toutes ces brèches auraient entretemps colmaté en collaboration avec les marques concernées.
Et les avions ; et les bateaux ?
Aux dires des professionnels de la sécurité informatique « la vérité est qu’un bateau ou un avion comme tout système informatique peut être hacké. » Les avions, souvent surnommés des ordinateurs avec des ailes, selon les experts sont blindés (pour l’instant) et les avionneurs font tout ce qui est nécessaire pour que cela le demeure. Aucun avion n’aurait été piraté à ce jour. Les pirates s’attaquent plutôt aux systèmes informatiques des aéroports et sociétés ariennes. En octobre dernier « Killnet » un groupe de hackers pro Poutine informait avoir perturbé les sites de 14 aéroports américains, perturbations qui n’ont eu aucun impact opérationnel selon les autorités américaines. Leurs cibles sont les institutions de pays membres de l’OTAN comme ceux des États-Unis où à la même époque « Killnet » se déclarait responsable de la mise hors ligne de sites officiels.
Les grands transporteurs maritimes n’ont pas eu cette chance : des géants comme l’allemand « Hellman worldwide logistics » avec ses 11.000 employés et ses 300 bureaux disséminés à travers la planète a fait les frais d’un piratage en octobre 2022. En déconnectant immédiatement tout de leur plateforme centrale, ils ont réussi à sauver la mise, mais à un prix élevé. Le numéro un du fret maritime occidental Maersk a dû payer une rançon de 300 bitcoins, ce qui fait un équivalent de 7.5 millions d’euros en 2017 pour pouvoir récupérer la souveraineté sur son système informatique. Le coût total du piratage dont l’origine est russe selon, le FBI se monte à 300 millions d’euros. En 2020 Maersk a eu droit à une nouvelle tentative d’attaque. Ces deux exemples parmi d’autres soulignent que le piratage a de beaux jours devant lui, malgré la veille des agences nationales et privées de cybersécurité, de plus en plus pointues.
