Voler un Mitsubishi sans effraction, grâce au Wi-Fi
Le Mitsubishi Outlander PHEV est, comme la plupart des véhicules rechargeables, connecté. Il dispose effectivement d'une application mobile permettant de paramétrer et de surveiller la charge, et d'acclimater l'habitacle tant qu'il est branché, plutôt qu'en puisant sur les batteries. Il est par conséquent plus vulnérable à une attaque informatique, puisqu'on peut agir à distance, parfois sans s'introduire par effraction à l'intérieur du véhicule.
Les chercheurs en sécurité du cabinet britannique Pen Test Partners l'ont récemment démontré. En l'occurrence le Mitsubishi Outlander n'est pas connecté à internet par GSM, mais il embarque un point d'accès Wi-Fi, auquel on connecte son téléphone afin d'utiliser l'application dédiée.
En utilisant les techniques habituelles d'interception et d'usurpation, les chercheurs sont parvenus sans difficulté à se connecter au Wi-Fi d'une voiture, puis à reproduire les commandes permettant de désactiver l'alarme anti-intrusion. Il ne reste plus qu'à forcer une vitre et à déverrouiller la voiture depuis l'intérieur pour s'introduire sans déclencher l'alarme. On a alors accès à la prise diagnostic OBD embarquée, avec laquelle on peut potentiellement démarrer le moteur voire programmer sa propre clé.
Pen Test Partners précise que ses tentatives de révéler la faille au constructeur ont d'abord été « accueillies avec désintérêt ». Il aura fallu le concours de la BBC pour attirer leur attention. Mitsubishi travaille désormais à un correctif. Il faut dire que les chercheurs ont prévenu qu'ils divulgueraient prochainement la faille. Ils proposent entre temps un moyen de s'en prémunir, en désactivant le Wi-Fi et donc la commande à distance.
Précédemment :
BMW : une faille comblée par mise à jour OTA
Une faille chez Tesla permet d'ouvrir un véhicule à distance
Symantec lance une intelligence artificielle anti-intrusion
Dans la foulée, le leader mondial de la cyber-sécurité auto-proclamé annonce le lancement d'une solution permettant de protéger les véhicules connectés des attaques Zero Day. Symantec Anomaly Detection for Automotive s'appuie effectivement sur le machine learning pour détecter toute activité anormale dans les systèmes embarqués d'une voiture. Surveillant en permanence le trafic sur le bus CAN, avec une utilisation minimale de la mémoire et de la puissance de traitement nous promet-on, le système peut ainsi détecter des attaques qui exploitent des failles qui ne sont pas encore connues.En tout cas les constructeurs devront se montrer proactifs s'ils veulent lever les craintes d'une part non négligeable des consommateurs. En l'occurrence Mitsubishi ne montre par exemple, contrairement à BMW ou à Tesla avant lui.
À lire aussi : McAfee se penche sur la sécurité des systèmes embarqués pour automobiles
