Cybersécurité des systèmes embarqués : Les voitures connectées dans le viseur
INTRODUCTION
Les voitures connectées gagnent en popularité, mais elles comportent aussi des risques de sécurité.
Contrairement aux véhicules traditionnels, elles échangent constamment des données via Internet, ce qui peut les exposer aux cyberattaques.
Mais qu’est-ce qui distingue une voiture connectée d’une voiture autonome ?
Les niveaux d’autonomie pour les voitures se définissent sur une échelle de 0 à 5, en fonction de l’assistance apportée par les systèmes embarqués et du rôle du conducteur dans la conduite.
- Niveau 0 – Aucune autonomie : Le conducteur gère tout, sans assistance.
- Niveau 1 – Assistance : Certains systèmes aident, comme le régulateur de vitesse, mais le conducteur garde le contrôle.
- Niveau 2 – Semi-autonomie : Le véhicule gère vitesse et direction dans certaines situations, mais le conducteur doit garder les mains sur le volant.
- Niveau 3 – Autonomie conditionnelle : Le véhicule conduit seul dans des conditions spécifiques, mais le conducteur doit rester prêt à intervenir.
- Niveau 4 – Haute autonomie : La voiture peut gérer seule la majorité de la conduite en zones prédéfinies, bien que la conduite manuelle soit encore possible.
- Niveau 5 – Autonomie totale : Le véhicule se déplace seul dans toutes les conditions, rendant la supervision humaine inutile.
Les véhicules actuellement sur le marché se situent majoritairement entre les niveaux 0 et 2, les niveaux 3, 4 et 5 étant encore en développement pour des raisons techniques et réglementaires.
Plus un véhicule est connecté, plus il présente de potentielles vulnérabilités.
Aujourd’hui, les voitures connectées intéressent les cybercriminels pour diverses raisons : accès non autorisé, vol sans effraction, espionnage, et même sabotage.
Dans cet article, nous explorerons plusieurs techniques de piratage, leurs impacts et comment renforcer la cybersécurité des systèmes embarqués pour se protéger contre ces menaces.
À L’ATTAQUE !
CYBERSÉCURITÉ DES SYSTÈMES EMBARQUÉS : L’ECU
Qu’est-ce que l’ECU ?
L’ECU, ou unité de contrôle électronique, est l’ordinateur de bord des véhicules modernes. Il assure le pilotage et la gestion des fonctions essentielles comme le freinage, la direction assistée, et même la gestion du carburant.
Avec la connectivité accrue des véhicules, l’ECU devient une cible pour les hackers, car manipuler ces composants peut donner accès aux fonctions principales du véhicule.
Attaque physique de l’ECU : Remapping ou chiptuning
Cette méthode permet de reprogrammer l’ECU pour en modifier les paramètres, comme augmenter la puissance du moteur ou modifier la consommation de carburant.
Cette technique est couramment utilisée pour le « tuning » mais, entre de mauvaises mains, elle peut servir à désactiver certaines sécurités ou à masquer des défauts.
Attaque sur la mémoire morte (EEPROM)
Une attaque EEPROM vise à modifier le code en mémoire morte, utilisé pour le démarrage du véhicule ou les systèmes de sécurité.
Une fois le code modifié, des fonctions essentielles peuvent être altérées, mettant en danger la sécurité du conducteur et des passagers.
Intérêts de l’attaque pour le hacker
Ces attaques permettent au hacker de manipuler les performances et la sécurité de la voiture, ce qui peut être utilisé pour contourner des restrictions de vitesse, neutraliser des dispositifs de sécurité, ou encore faciliter le vol du véhicule sans laisser de traces visibles.
Solutions de sécurité
- Surveillance physique : Vérifiez régulièrement si l’intérieur du véhicule montre des signes d’effraction, surtout autour de l’ECU, souvent placé sous le tableau de bord.
- Contrôle des performances : Soyez attentif aux changements de performance du véhicule (vitesse, freinage), car des modifications pourraient indiquer une manipulation de l’ECU.
- Mises à jour et rappels constructeur : Faites réviser régulièrement votre véhicule et vérifiez les campagnes de rappel pour vous assurer que le logiciel est à jour.
CYBERSÉCURITÉ DES SYSTÈMES EMBARQUÉS : INJECTION D’UNE BACKDOOR DANS LE RÉSEAU CAN
Qu’est-ce le réseau CAN ?
Le réseau CAN (Controller Area Network) est un système de communication interne qui permet aux différents composants électroniques d’une voiture de dialoguer entre eux.
Que ce soit pour coordonner l’ABS, les airbags, ou le contrôle moteur, le réseau CAN relie les ordinateurs embarqués.
Or, ce réseau a été conçu initialement sans mesures de sécurité avancées, ce qui le rend vulnérable aux cyberattaques.
Qu’est-ce qu’une backdoor ?
Une backdoor est une « porte dérobée » qu’un hacker peut introduire dans le système pour y accéder à distance et sans autorisation.
Une fois cette porte en place, le hacker pourrait injecter des commandes comme l’ouverture des portières ou l’activation de certains systèmes sans que le conducteur ne se doute de rien.
Les risques pour la sécurité physique sont donc considérables.
Motifs des attaques
Les hackers cherchent à exploiter ce type de réseau pour prendre le contrôle à distance des véhicules.
Ils peuvent par exemple désactiver des systèmes de sécurité ou accéder à des informations personnelles si le véhicule est connecté à un compte en ligne.
Solutions de sécurité
- Limiter l’accès au Bluetooth et aux connexions réseau : En désactivant ces options quand elles ne sont pas nécessaires.
- Effectuer des inspections régulières en garage : Particulièrement au niveau des connexions réseau, pour repérer d’éventuelles anomalies.
- Suivre les notifications de rappel des constructeurs : De nombreuses mises à jour visent à corriger les failles identifiées.
CYBERSÉCURITÉ DES SYSTÈMES EMBARQUÉS : TPMS
Qu’est-ce que le TPMS et pourquoi est-il vulnérable ?
Le TPMS (Tire Pressure Monitoring System) est un système de surveillance de la pression des pneus.
Il informe le conducteur en cas de baisse de pression, améliorant ainsi la sécurité et l’économie de carburant.
Cependant, le TPMS est vulnérable : les hackers peuvent y injecter de fausses alertes, distrayant le conducteur ou sapant sa confiance en ce système.
Attaque et risques
Une attaque sur le TPMS consiste à intercepter les signaux sans fil pour envoyer de fausses alertes de pression.
Un hacker pourrait feindre un problème de pression de pneu pour inciter le conducteur à s’arrêter.
Ces fausses alertes peuvent semer la confusion et entraîner des prises de décisions risquées.
Solutions de sécurité
- Mises à jour régulières : Demandez à votre garagiste si des mises à jour de sécurité sont disponibles pour le TPMS.
- Diagnostic régulier du système : En cas d’alerte inhabituelle, effectuez une vérification manuelle de la pression des pneus pour éviter de vous fier uniquement au TPMS.
- Déconnexion en cas de suspicion : Si des anomalies fréquentes apparaissent, consultez un spécialiste pour vérifier l’intégrité du système.
CYBERSÉCURITÉ DES SYSTÈMES EMBARQUÉS : APPLICATIONS MAL SÉCURISÉES
Quand les applications facilitent le piratage
Beaucoup de véhicules connectés permettent désormais, via une application, de démarrer le moteur, verrouiller les portes ou surveiller la batterie.
Si ces applications apportent un grand confort, elles peuvent malheureusement être des points d’entrée pour les hackers. Des failles dans la sécurité de l’application peuvent offrir un accès direct au véhicule.
Exemples de failles célèbres
- Nissan Leaf (2016) : En 2016, un chercheur a découvert une faille dans l’application de la Nissan Leaf, une voiture électrique populaire. L’application permettait à des pirates de contrôler certains systèmes à distance, comme le chauffage et le refroidissement, sans authentification appropriée.
- Kia Connect (2024) : Une vulnérabilité critique a été découverte dans le portail Kia pour propriétaires de véhicules connectés. Cette faille permettait aux hackers de contrôler le verrouillage, le démarrage, et d’accéder aux données personnelles (adresse, téléphone, email) du propriétaire en moins de 30 secondes avec le numéro de plaque. Kia a corrigé cette vulnérabilité en août 2024 suite à une notification en juin.
Solutions de sécurité
- Limiter l’utilisation des fonctionnalités à distance : Si les fonctionnalités ne sont pas essentielles, désactivez-les pour minimiser les risques.
- Mises à jour régulières : Vérifiez régulièrement les mises à jour des applications via le Play Store ou l’App Store, car elles corrigent souvent des failles de sécurité.
- Double authentification : Si disponible, activez l’authentification à deux facteurs (2FA) pour renforcer la protection de votre compte d’application.
CONCLUSION
La cybersécurité des systèmes embarqués, un enjeu pour la sécurité routière
La cybersécurité des systèmes embarqués est un sujet d’importance qui concerne tous les conducteurs de véhicules connectés. En adoptant quelques habitudes de vigilance, chacun peut contribuer à renforcer la sécurité de son véhicule.
Action !
Soyez attentif aux campagnes de rappel, souvent relayées par les constructeurs automobiles, car elles sont essentielles pour résoudre des failles de sécurité.
De plus, restez vigilant à tout comportement inhabituel de votre véhicule, comme des alertes soudaines ou des changements dans les fonctions connectées.
En intégrant ces pratiques simples, vous contribuez à une meilleure cybersécurité, essentielle pour la sécurité de tous sur la route.
Bonjour Jérémy
merci pour cette découverte et cet excellent article.
J’habite dans Paris intra-muros et nous avons de moins en moins de voitures, seulement 1/3 des parisiens ont un véhicule en propre.
Je me demande comment les garagistes vont avoir du personnel qualifié sur ce sujet. L’on demande de plus en plus de compétences qui ne sont pas dans le domaine premier, un mécanicien n’est pas un informaticien.
Il n’est pas sûr non plus que l’utilisateur ait conscience des risques décrits.
Diane
Bonjour Diane,
Merci pour ton commentaire 🙂
Oui, les garagistes devront être formés au fur et à mesure, car le nombre de voitures connectées va augmenter, et les concessionnaires joueront sur le fait qu’il faut ramener le véhicule chez eux, sous prétexte qu’il faut être certifié, sinon cela peut faire sauter la garantie du véhicule. Par contre, le coût horaire de la main-d’œuvre dans l’électronique est bien plus élevé (quasiment deux fois) que celui de la main-d’œuvre en mécanique. En plus de la cybersécurité, il y a un sacré business autour de l’électronique embarquée dans les véhicules.
Mais oui, il faut que les petits garagistes suivent la tendance pour rester au niveau de ce qui est proposé sur le marché de l’automobile.
Tu mets le doigts sur l’une de mes grandes peurs !
Nous avons souhaité limiter au maximum ces possibilités lors de l’achat de notre véhicule il y a 6 ans. Nous avons opté pour une classification 1, soit juste l’assistance.
Merci pour tes conseils avisés !
Merci pour ton commentaire 🙂
Oui, c’est vrai qu’on peut se demander jusqu’où cela va s’arrêter.
J’ai une voiture de niveau 2, et elle peut déjà prendre le contrôle (pédale et volant) en cas de collision imminente. C’est très impressionnant, donc on peut légitimement se demander : que se passerait-il si la voiture se faisait pirater…
Merci pour ton article très technique et intéressant. C’est tout de même hallucinant tout ça, j’étais loin d’imaginer que ça puisse exister bien que, plus rien ne m’étonne ! Heureusement qu’il y a des solutions de sécurité, par contre ce qui m’interpelle c’est le prix à payer ?
Merci pour ton commentaire 🙂
Oui, c’est un sujet dont on ne parle pas beaucoup, et pourtant la faille de Kia Connect peut faire peur. En 30 secondes chrono, le hacker avait les informations nécessaires pour obtenir le signal de la clé du véhicule. Il lui suffisait ensuite d’approcher un téléphone avec ce signal, et le tour était joué.
Comme en informatique, certaines technologies ont été pensées pour le confort et la facilité, mais souvent au détriment de la sécurité.
Il y a donc une prise de conscience de la part des constructeurs, comme on le voit avec Tesla, qui invite des hackers à tester ses voitures lors de congrès.
Les mises à jour se font généralement en garage, souvent sans frais supplémentaires car incluses dans l’entretien du véhicule. Mais là où je souhaite interpeller, c’est sur l’importance de ne pas manquer les campagnes de rappel, que ce soit pour un problème mécanique ou logiciel dans les véhicules connectés 😉
Wouaw ! ok ok merci pour l’info Jérémy ! 😉
Merci pour ton commentaire 🙂
De rien 🙂
Merci pour cet article très instructif. Je n’avais absolument pas pensé, par exemple, aux risques liés au TPMS. C’est limite angoissant 😉 Merci pour ces explications et ces conseils !
Merci pour ton commentaire 🙂
Oui, effectivement, on peut faire de nombreuses choses. Par contre, l’essentiel est de ne pas vivre dans la peur, mais de se dire que ces risques existent. Heureusement, les constructeurs mettent à jour les systèmes au fur et à mesure, ce qui reste assez transparent pour le conducteur.
Le risque de se faire pirater sa voiture est très rare, c’est vraiment une question de malchance.
La première sécurité à mettre en place en cas de défaillance du TPMS est déjà de contrôler ses pneus (comme au bon vieux temps) et ensuite de l’amener au garage. On peut donc tout à fait mettre en place des « sécurités » basiques mais efficaces à notre niveau ^^
Merci pour cet article concret et très contemporain. Les voitures connectées et leur sécurisation soulèvent beaucoup de questions. Tu réponds aux premières et donne envie d’aller plus loin 🙂
Merci pour ton commentaire 🙂
Oui, on n’y pense pas forcément en ce qui concerne la sécurité des voitures connectées, mais on pourrait également parler de celle des frigos, caméras, ou de tout autre objet connecté.
Le sujet est vaste 😉
Je crois qu’on ne se rend pas compte du problème dans le fond. J’avais un ami garagiste qui a arrêté de l’être car au final, la majorité des problèmes venaient de plus en plus de problèmes électroniques. Quand on voit aujourd’hui que les voitures ne sont plus mécaniques (ou presque) mais sont surtout des ordinateurs, on peut comprendre le problème.
Bonjour Flore,
Merci pour ton commentaire 🙂
Effectivement, ce que tu dis ne m’étonne pas, et j’ai l’impression que la tendance va davantage dans le sens des voitures connectées que de la mécanique traditionnelle, ce qui bouleverse déjà les habitudes et aptitudes des garagistes indépendants…
Ton article est un vrai wake-up call sur les risques de cybersécurité pour les voitures connectées ! C’est fascinant (et un peu inquiétant) de découvrir à quel point ces systèmes embarqués peuvent être vulnérables face aux cyberattaques. Tu expliques bien les défis et les précautions à prendre, ce qui rend le sujet accessible même pour ceux qui ne sont pas experts en technologie. Merci pour cette mise en lumière essentielle pour comprendre les enjeux de sécurité dans notre monde connecté !
Bonjour Jackie,
Merci pour ton commentaire 🙂
Oui, c’est vrai que lorsqu’on parle de cybersécurité, on pense tout de suite aux serveurs et ordinateurs, mais avec les objets connectés, le problème est le même, et bien souvent, la sécurité est un peu la grande oubliée dans l’avancée des technologies.
Je reste méfiante avec toutes ces technologies embarquées dans les voitures connectées… il y a encore du chemin à faire pour garantir une vraie sécurité 🙂
Bonjour Jessica,
Merci pour ton commentaire 🙂
Oui, même s’il y a eu une prise de conscience avec les deux hacks que j’ai évoqués, une cybersécurité fiable n’est pas encore à l’ordre du jour, mais je pense que cela va aller en s’améliorant.
Cela fait très mauvaise publicité pour un constructeur de savoir qu’on peut voler sa voiture en 30 secondes… (et sans parler des dommages financiers pour le conducteur).
Merci Jérémy pour cet article très instructif ! Je ne savais pas que ces systèmes pouvaient être aussi vulnérable aux hackers. Hier j’ai regardé un documentaire qui montrait brièvement les taxis sans chauffeur à San Francisco. Alors que je me disais que je ne serais pas très à l’aise à bord d’un véhicule entièrement automatisé, maintenant que j’ai lu ton article, cela me tente encore moins 😅
Bonjour Alice,
Merci pour ton commentaire 🙂
Oui, c’est vrai qu’aux États-Unis, ils sont plus en avance que nous sur les véhicules autonomes. Mais j’ose espérer que les voitures sont régulièrement testées et qu’il n’y ait pas de ports USB ou autres périphériques d’entrée qui traînent ; cela réduit déjà considérablement les risques 🙂
Hackée il y a 25 ans, dès mon arrivée sur la toile, je comprends qu’on puisse avoir besoin de sécurité sur les ordinateurs.
J’aimerais aussi pouvoir suivre les avancées technologiques et me préserver encore et toujours des attaques malveillantes. Mais les temps changent plus vite que ce que je peux suivre… alors oui, cet article m’a beaucoup intéressée, il m’a beaucoup plu. Non, je ne suis pas prête pour la voiture qui ne m’obéit pas…
Bonjour Corinne,
Merci pour ton commentaire 🙂
Ravi que mon article ait pu t’apporter des informations 🙂 Effectivement, tout va très vite, et il est très compliqué de suivre le rythme tant les technologies (et les risques) évoluent.
Je suis d’accord avec toi, avoir une voiture qui fait tout toute seule, ce n’est pas très rassurant 😉
Il faut quand même ajouter que les niveaux d’autonomie ont déjà prouvé leur intérêt d’un point de vue sécurité 😉 Le niveau 4 existe sur les Tesla (et sur autoroutes uniquement) et le niveau 5 ne devrait pas voir le jour pour les véhicules légers avant très longtemps… Merci pour cet article !
Bonjour Sophie,
Merci pour ton commentaire 🙂
C’est vrai qu’avant de valider le niveau 5, il vas s’en passer du temps.
Cela dit, il était question d’avoir déjà des taxis autonomes, c’était déjà évoqué en 2018, mais je pense que passer les tests + la méfiance des gens, on en est encore loin de son approbation 🙂
Merci Jérémy pour ce super article! Comme à ton habitude, il est hyper bien structuré et éveille sur une technologie que je trouve à la fois fascinante et vulnérable 🎯 Je ne suis jamais très au fait de cette technologie et ton contenu m’a beaucoup appris 🚀
Bonjour Camille,
Merci pour ton commentaire 🙂
Ravi que j’ai pu t’apprendre des choses, si tu as des questions n’hésites pas 🙂