Les voitures connectées, et plus généralement les objets connectés, sont en plein boum, les estimations sur le nombre d’objets connectés, que la terre comptera en 2020, varient fortement (20 milliards pour Gartner / 212 milliards pour International Data Corporation).
Mais nous pouvons penser qu’entre les objets déjà existants en pleine démocratisation (montres, maisons, objets de santé, etc.) et ceux étant encore au stade de projet, les objets connectés seront en 2020 pleinement intégrés dans nos vies quotidiennes. En prenant en compte la multiplicité des objets et des impacts potentiels, la sécurité doit être un enjeu majeur.
Études Valasek / Miller : Une prise de conscience progressive
Les voitures connectées supportent des enjeux de sécurité très importants, car la santé des passagers peut-être directement impliquée. Deux américains Chris Valasek et Charlie Miller (ex NSA – Twitter et maintenant Uber) chercheurs en sécurité informatique se sont spécialisés sur ces systèmes d’objets connectés. Ils ont commencé en 2013, une série d’études sur plusieurs modèles de voitures.
2013 – La Toyota Prius ne répond plus…
En 2013 les deux compères portent leur attention sur deux modèles précis : La Ford Escape et la Toyota Prius. Et leurs études de reverse-engineering du système leur permettent de prendre le contrôle du véhicule (système de freins, direction, divertissements etc.) avec un branchement sur la prise OBD (On Board Diagnostic) initialement prévue par le constructeur pour être un point d’entrée des réparateurs pour établir un diagnostic de l’état du véhicule.
Ils ont réussi via l’exploitation de plusieurs vulnérabilités du système embarquée à pouvoir envoyer des commandes au système et ainsi conduire la voiture via l’ordinateur du chercheur.
Cette étude ayant été menée à des fins de recherche, les détails des vulnérabilités ainsi trouvées, ont été transmis aux constructeurs concernés, qui n’ont pas jugé nécessaire de réagir compte tenu de la nécessité d’avoir un accès physique au véhicule.
2015 – Et Jeep sort vainqueur…
En 2015, les voitures ont évolué, mais les deux chercheurs n’en restent pas là. Ils continuent leurs études et cherchent maintenant à s’attaquer aux véhicules en exploitant maintenant la connectivité sans fil. Le groupe FCA (Fiat Chrysler Automobiles) équipe ses véhicules d’un système 3G nommé uConnect. Ce système permet d’obtenir une connectivité du véhicule sur la quasi-totalité du territoire américain. Vasalek et Miller ont donc étudié plusieurs modèles du groupe (et d’autres) pour trouver le modèle le plus propice. Et le grand vainqueur est … la Jeep Cherokee 2014 !
Les deux chercheurs mèneront donc une étude approfondie du véhicule jusqu’à obtenir un contrôle total, mais cette fois-ci depuis leur canapé. Le récit du PoC par le cobaye est assez caustique : Les chercheurs ont invité Andy Greenberg, un journaliste spécialisé en sécurité à prendre place derrière le volant du modèle cible. Greenberg s’attendait à subir un comportement étrange du véhicule, mais les deux chercheurs ne l’informent pas du moment et du type d’attaque qui sera lancé sur le véhicule (la confiance était établie entre les parties puisque Greenberg était également cobaye lors de l’épisode 1 en 2013). La climatisation se met donc en route toute seule sur l’autoroute, puis les essuie-glaces, et enfin, les freins sont coupés (Greenberg se trouve à ce moment sur un parking), alors que Vasalek et Miller se trouvent à une quinzaine de kilomètres du véhicule. Ils ont donc réussi à transformer un véhicule de plus d’une tonne huit en voiture télécommandée, sans que le conducteur ne puisse faire quoi que ce soit. En passant donc par le réseau 3G, le même que celui de votre téléphone.
Le détail de cette étude a été encore une fois transmis au fabricant avant la présentation de celle-ci à la Black Hat de Las Vegas en août 2015. Et cette fois ils ont été écoutés. Le constructeur Jeep a ordonné un rappel à l’usine des véhicules qu’il jugeait vulnérables :
- d’abord en Juillet 2015 ou plus d’un million quatre cent mille véhicules ont été rappelés ;
- puis en Septembre ou un rappel des SUV Jeep Renegade, version 2015 (eux aussi équipés du système uConnect en cause) est ordonné.
La cause précise de ce rappel est assez cocasse quand on connait le contexte des attaques : le correctif publié par le constructeur nécessite un accès physique pour être intégré au véhicule… Les plus téméraires ont donc pu l’installer eux-mêmes.
Les impacts de ces incidents
Cet exemple est un cas d’étude assez intéressant car les impacts sont nombreux, facilement appréhendables, et pourraient être similaires sur d’autres typologies d’objet connectés.
Impact business : Le retour à l’usine de presque un million et demi de véhicules n’est pas anodin, il faut l’organiser, le planifier, l’exécuter mais également indemniser les propriétaires qui sont concernés. C’est donc tout le groupe qui se retrouve mobilisé et qui en subit les conséquences. Cet impact serait identique dans tout incident de sécurité provoquant un retour à l’usine de l’objet. Pour un autre sujet -affaire des fraudes aux logiciels anti-pollution- le coût total du rappel des véhicules s’établirait entre 20 et 50 milliards d’euros pour le groupe Volkswagen.
Impact de notoriété : Qui aujourd’hui souhaiterait acheter une Jeep Cherokee 2014, ou plus généralement une voiture équipée du système uConnect, ou même une voiture connectée ? L’image de la marque, du groupe, et même du secteur est sévèrement touchée par ces incidents. Et ce, malgré la communication des acteurs et la publication rapide des correctifs. Dans un secteur high-tech fortement concurrentiel, l’image est un atout majeur qu’il est préférable de ne pas voir écorchée par ce type d’incident…
Impact légal : sur ce point-là, le groupe FCA a limité les impacts. En effet, même si des class-actions sont lancées à l’encontre du groupe (notamment car le groupe avait déjà été prévenu suite à l’étude de 2011), il en aurait été tout autre si ces vulnérabilités avaient été exploitées à des fins malveillantes.
Enfin, cet exemple, qui pourrait être transposé à d’autres catégories d’objets connectés, nous invite à nous interroger de manière plus vaste.
- Les réseaux IoT pourraient être les cibles privilégiées des attaques de demain. Mais quelles pourraient en être les conséquences ?
- Une campagne généralisée de déni de service ou de ransomware sur des IoT santé ? (ex : Pacemaker)
- Des « accidents » perpétrés à distance sur des moyens de transport connectés ?
- La montée en puissance du cyber-terrorisme est-elle à craindre sur ces sujets ?
L’intérêt d’introduire la sécurité dans l’IoT est tout trouvé. Bien sûr il faudra jongler entre les différentes contraintes propres au produit (matériaux ou protocoles, type de donnée utilisé etc.), ainsi qu’au secteur (concurrence forte qui implique des mises en production rapide). Mais sous peine de devoir payer les pots cassés, l’innovation et la sécurité doivent rester indissociables. Il est en effet nécessaire de limiter au maximum les données collectées tout en faisant preuve de transparence envers les consommateurs. La sécurité doit être pensée dès la phase de conception, et maintenue tout en long du projet, en offrant aux consommateurs, un IoT durci par défaut et non en disposant de fonctionnalités de sécurité pouvant être activées par l’utilisateur.