Corvette piratée : Mobile Devices tente de contrôler le dérapage

Le piratage d’une Jeep Cherokee la semaine passée dans le cadre de la conférence Black Hat n’était que le premier acte du drame qui se joue actuellement autour de la sécurité des voitures connectées.

Une équipe de chercheurs de l’Université de Californie a remis de l’huile sur le feu en prenant le contrôle d’une Corvette, des essuie-glaces jusqu’au système de freinage.

La démonstration, effectuée lors du sommet Usenix, a suscité d’autant plus d’attention que les équipes du professeur Stefan Savage n’ont pas directement attaqué l’ordinateur embarqué.

Elles sont passées par un petit accessoire conçu pour se connecter sur le port OBD (« On Board Diagnostics ») et agir telle une boîte noire collectant des informations comme la vitesse, le niveau de carburant ou le comportement du conducteur.

S’il existe de nombreux modèles de dongles OBD, celui mis en défaut dans le cas présent est fabriqué par Mobile Devices. Ainsi propulsée sur le devant de la scène, la firme française, qui commercialise une plate-forme logicielle pour les projets de voitures connectées, tente désormais de démêler le vrai du faux.

Fondateur, directeur général et président du conseil d’administration, Aaron Solomon assure que le piratage de la Corvette par le biais d’un simple SMS est la conséquence d’une négligence de la part du constructeur – en l’occurrence Chevrolet.

« Les dongles sont livrés aux constructeurs et aux intégrateurs en mode programmation », explique le dirigeant. Il poursuit : « Cela leur permet d’implémenter leurs propres services. Mais pour pouvoir programmer, il faut que la sécurité soit désactivée [partiellement en mode « basique », ndlr] ».

Selon Aaron Solomon, « c’est un fait accepté par l’intégrateur », qui doit s’assurer de réenclencher les fonctionnalités de sécurité une fois qu’il passe en phase de production. Ce que Chevrolet aurait omis.

Un buzz bénéfique ?

Les dongles étant connectés aux serveurs de Mobile Devices, l’entreprise peut contrôler si la sécurité est effectivement active. Pour des questions de confidentialité des clients, cette pratique n’avait pas cours jusqu’à présent. Mais « avec le buzz autour de la Chevrolet, les choses vont changer », affirme Aaron Solomon.

Le contrôle ne sera toutefois pas systématique : il s’appliquera selon des règles de volumétrie ; en d’autres termes, lorsqu’un nombre suffisamment important de véhicules aura été déployé. Les constructeurs pourront toujours s’y opposer, par exemple en cas d’essais sur un circuit fermé et donc a priori sécurisé.

Pour Aaron Solomon, l’épisode Chevrolet a surtout surpris le grand public : les clients de Mobile Devices auditent régulièrement ses solutions. Illustration avec ce « grand constructeur américain » qui devrait bientôt officialiser son partenariat avec la société française.

On notera par ailleurs qu’un seul modèle de dongle est concerné. Les autres solutions de Mobile Devices n’exploitent pas l’interface OBD. La clé 3G développée spécialement pour PSA Peugeot Citroën en est l’exemple, avec sa connexion USB.

En France, le secteur le plus exposé à la faille en question est la gestion de flottes mobiles en entreprise. Des assureurs et des opérateurs télécoms ont adopté l’offre de Mobile Devices, mais sont encore en phase de test.

Créé à l’origine pour le contrôle du respect des normes antipollution, le port OBD cristallise d’autant plus de tension qu’il n’est toujours pas pleinement standardisé, que ce soit en matière de plates-formes, de protocoles de communication… ou même de connecteur d’interface.

Ce qui complique la tâche des constructeurs. Lesquels ont, à en croire Aaron Solomon, « tout intérêt à décorréler la connectivité du reste du véhicule » dans leur processus de production, la télématique – et plus globalement la technologie – évoluant « beaucoup plus vite que les autres éléments ».

Crédit photo : Alexandru Nika – Shutterstock.com