Hasard du calendrier ? Une semaine après la découverte d'une faille de sécurité sur un Mitsubishi Outlander connecté, l'éditeur de l'antivirus Norton, Symantec, annonce une solution de sécurité pour l'automobile.
Voler un Mitsubishi sans effraction, grâce au Wi-Fi
Le Mitsubishi Outlander PHEV est, comme la plupart des véhicules rechargeables, connecté. Il dispose effectivement d'une application mobile permettant de paramétrer et de surveiller la charge, et d'acclimater l'habitacle tant qu'il est branché, plutôt qu'en puisant sur les batteries. Il est par conséquent plus vulnérable à une attaque informatique, puisqu'on peut agir à distance, parfois sans s'introduire par effraction à l'intérieur du véhicule.
Les chercheurs en sécurité du cabinet britannique Pen Test Partners l'ont récemment démontré. En l'occurrence le Mitsubishi Outlander n'est pas connecté à internet par GSM, mais il embarque un point d'accès Wi-Fi, auquel on connecte son téléphone afin d'utiliser l'application dédiée.
En utilisant les techniques habituelles d'interception et d'usurpation, les chercheurs sont parvenus sans difficulté à se connecter au Wi-Fi d'une voiture, puis à reproduire les commandes permettant de désactiver l'alarme anti-intrusion. Il ne reste plus qu'à forcer une vitre et à déverrouiller la voiture depuis l'intérieur pour s'introduire sans déclencher l'alarme. On a alors accès à la prise diagnostic OBD embarquée, avec laquelle on peut potentiellement démarrer le moteur voire programmer sa propre clé.
Pen Test Partners précise que ses tentatives de révéler la faille au constructeur ont d'abord été « accueillies avec désintérêt ». Il aura fallu le concours de la BBC pour attirer leur attention. Mitsubishi travaille désormais à un correctif. Il faut dire que les chercheurs ont prévenu qu'ils divulgueraient prochainement la faille. Ils proposent entre temps un moyen de s'en prémunir, en désactivant le Wi-Fi et donc la commande à distance.
Symantec lance une intelligence artificielle anti-intrusion
Dans la foulée, le leader mondial de la cyber-sécurité auto-proclamé annonce le lancement d'une solution permettant de protéger les véhicules connectés des attaques Zero Day. Symantec Anomaly Detection for Automotive s'appuie effectivement sur le machine learning pour détecter toute activité anormale dans les systèmes embarqués d'une voiture. Surveillant en permanence le trafic sur le bus CAN, avec une utilisation minimale de la mémoire et de la puissance de traitement nous promet-on, le système peut ainsi détecter des attaques qui exploitent des failles qui ne sont pas encore connues.
En tout cas les constructeurs devront se montrer proactifs s'ils veulent lever les craintes d'une part non négligeable des consommateurs. En l'occurrence Mitsubishi ne montre par exemple, contrairement à BMW ou à Tesla avant lui.
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma no...
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma nouvelle passion pour l'informatique.
Depuis je me suis aussi passionné pour l'imagerie en général et pour la photo en particulier, mais je reste fan de sujets aussi obscurs que les procédés de fabrication de composants électroniques ou les microarchitectures de processeurs, que l'infiniment grand et l'infiniment petit.
Je suis enfin foncièrement anti-DRM et pro-standards ouverts.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
