Chez Shimano, les dérailleurs Di2 ont failli dérailler - © ZikG / Shutterstock
Chez Shimano, les dérailleurs Di2 ont failli dérailler - © ZikG / Shutterstock

Des chercheurs en cybersécurité ont découvert une faille de sécurité dans le système de changement de vitesse électronique Di2 de Shimano. Cette vulnérabilité permettrait à des pirates de prendre le contrôle du dérailleur à distance. Shimano a rapidement réagi en publiant une mise à jour du firmware pour corriger le problème.

Lorsqu'on évoque les cyberpiratages, on pense naturellement à un système d'exploitation, une application ou une institution. Idem quand il s'agit de cyclisme, auquel on va associer des affaires de moteurs cachés et de dopage, humain ou mécanique. Mais hacker un dérailleur, il fallait y penser.

C'est pourtant bel et bien ce qui aurait pu arriver à Shimano, le numéro un mondial des composants de vélo. Des chercheurs ont mis au jour une faille de sécurité dans le système Di2 de la marque nippone. Alors que le Tour de France s'est achevé et que la Vuelta, qui boucle l'Espagne, se court actuellement, il a fallu réagir rapidement pour publier une mise à jour du firmware.

Shimano sort l'artillerie lourde contre les pirates du bitume

Le géant japonais a enfilé le maillot vert, aussitôt après la publication d'une étude, menée conjointement par les universités de San Diego et Northeastern, que Shimano se mettait la tête dans le guidon pour sortir une mise à jour du firmware pour colmater la brèche.

Une vulnérabilité qui permettait, selon les chercheurs, d'intercepter et rejouer les signaux sans fil entre la manette et le mécanisme de changement de vitesse du groupe Di2 du fabricant. Mais ce qui surprend, c'est que la manipulation peut être réalisée avec un « simple appareil du commerce », et jusqu'à 10 mètres de distance. De quoi semer une belle pagaille au sein d'un peloton serré.

Les professionnels ont été les premiers à bénéficier de la mise à jour du firmware, il faudra en revanche patienter pour les particuliers propriétaires d'un Di2, dont le correctif sera disponible dans le courant de ce mois d'août, via l'application E-TUBE.

Si vous avez un groupe Di2 de Shimano, n'oubliez pas de mettre à jour le firmware dès qu'elle sera disponible - © TORWAISTUDIO / Shutterstocl
Si vous avez un groupe Di2 de Shimano, n'oubliez pas de mettre à jour le firmware dès qu'elle sera disponible - © TORWAISTUDIO / Shutterstocl

Du Tour de France à la Vuelta : quand le piratage s'invite dans la course

Shimano l'assure : aucun cas de piratage n'a été signalé en course. Mais l'entreprise ne prend pas la menace à la légère. Elle a collaboré étroitement avec les chercheurs pour renforcer la sécurité de son système. Une réaction rapide et professionnelle qui devrait rassurer les utilisateurs.

Car l'enjeu est de taille. Le sport cycliste, comme toutes les disciplines pratiquées à un haut niveau, représente des investissements financiers importants. Les actes de malveillance, tels qu'un membre d'une équipe qui pirate le système Shimao Di2 d'un coureur concurrent pour lui faire perdre une étape ou une course implique de lourdes pertes, notamment des sponsors. La Vuelta, populaire course cycliste qui se joue en ce moment, est probablement un événement de choix pour les cybercriminels.

Le cyclisme professionnel n'avait vraiment pas besoin de ça. Déjà échaudé par des décennies de scandales de dopage, le voilà confronté à une nouvelle forme de triche high-tech. Les organisateurs de courses vont devoir se creuser les méninges pour sécuriser leurs épreuves.

Et Shimano dans tout ça ? L'entreprise a malheureusement déjà fait les frais des cybercriminels. En novembre 2023, elle a été victime d'un ransomware. Les pirates du célèbre gang LockBit qui avait attaqué l’hôpital de Cannes ont mis la main sur 4,5 téraoctets de données sensibles, menaçant de les publier si elle ne payait pas. Elle a choisi de ne pas céder à cette forme de chantage. Bien mal lui en a pris, les hackers ont mis leur menace à exécution et divulgué les données confidentielles de l'entreprise, de clients et de membres du personnel. Après avoir piraté Shimano, LockBit s'en est pris à une autre cible surprenante : les francs-maçons. Comme Clubic vous le disait au début de cet article, plus rien ne semble étonnant, au pays de la cybercriminalité.

A découvrir
Meilleur antivirus, le comparatif en décembre 2024

01 décembre 2024 à 11h06

Comparatifs services

Source : Wielerflits