Presque toutes les voitures connectées actuellement disponibles sur le marché sont « potentiellement exposées à des failles de sécurité […] pouvant entraîner des atteintes à la vie privée ». C’est le principal enseignement à tirer d’un rapport rendu public ce lundi 9 février 2015 par le Sénat américain.
La Chambre haute du Congrès reconnaît que le progrès technologique a amélioré la sécurité et le confort au volant, mais elle souligne « un manque évident de mesures visant à protéger les conducteurs contre des pirates qui pourraient prendre le contrôle de leur véhicule [et/ou] accéder à leurs données personnelles ».
L’impulsion a été donnée par Edward J. Markley. Il y a plus d’un an, le sénateur démocrate du Massachusetts avait adressé une questionnaire à 20 constructeurs automobiles pour aborder ces problématiques.
La plupart des 16 répondants ont affirmé « ne pas être au courant » d’une quelconque attaque contre leurs voitures connectées. Une position qui contraste avec celle des experts en sécurité informatique. Les constructeurs ne sont par ailleurs que deux à déclarer avoir mis en place un système permettant de juguler les attaques en temps réel. Ils ne sont pas plus nombreux à assurer pouvoir ralentir ou stopper à distance un véhicule piraté.
Repris par le New York Times, ce rapport sénatorial est publié dans la continuité d’une émission diffusée sur CBS News et illustrant comment la DARPA (département R&D rattaché à la Défense aux Etats-Unis) est parvenue à détourner le système OnStar de General Motors pour contrôler à distance une Chevrolet Impala – y compris l’accélération et le freinage.
La DARPA est formelle : il n’y a plus besoin d’avoir un accès direct au véhicule. Le schéma typique consiste à s’appuyer sur un smartphone relié par Bluetooth à l’ordinateur de bord. Les connexions Wi-Fi et cellulaires sont tout aussi exploitables.
Le législateur met plus globalement le doigt sur l’absence de standard pour protéger les réseaux sans fil dans les véhicules ; tout en notant qu’il n’existe, à l’heure actuelle, aucun consensus entre les industriels du secteur automobile pour répondre efficacement aux menaces et gérer les données personnelles relatives au conducteur.
Sur ce dernier point, plus de la moitié des sociétés ayant répondu au questionnaire déclarent passer par des prestataires tiers, souvent sans se soucier de la sécurité des data centers dans lesquels sont stockées les informations – itinéraires, consommation de carburant, temps passé dans les parkings et sur les différents axes routiers…
Edward J. Markley souligne le manque d’information des consommateurs quant à ces pratiques. Il note enfin que les constructeurs « ne savent pas vraiment combien de temps conserver les données personnelles » et à quelles fins.
* BMW, Fiat Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen et Volvo ont répondu au questionnaire, contrairement à Aston Martin, Lamborghini et Tesla.
Crédit photo : Syda Productions – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…