Fiat Chrysler a rappelé 1,4 million de Jeeps affecté par un piratage à distance qui a permis aux chercheurs de contrôler à distance le véhicule pendant qu'il était conduit.
Voir liés
Bien qu'il ne s'agisse que d'une démonstration, le piratage a permis à Charlie Miller et Chris Valasek d'accéder à des fonctions de la voiture telles que l'accélération, le pare-brise et la radio, rendant le conducteur impuissant.
De manière inquiétante, Miller et Valasek disent qu'ils pourraient cibler des centaines de voitures et publieront un tutoriel détaillant le hack le mois prochain.
Qu'est-ce que le hack a fait?
Miller et Valasek ont pu contrôler la climatisation, la radio et les essuie-glaces d'un Jeep Cherokee conduit par Filaire journaliste Andy Greenberg. Les pirates ont également accédé à des commandes plus vitales telles que l'accélérateur et les freins, laissant Greenberg impuissant à 70 mph sur l'autoroute.
"Alors que j'essayais de faire face à tout cela, une photo des deux pirates effectuant ces cascades est apparue sur l'écran numérique de la voiture", a écrit Greenberg. "Une belle touche, j'ai pensé."
« Immédiatement, mon accélérateur a cessé de fonctionner. Alors que j'appuyais frénétiquement sur la pédale et que je regardais les RPM grimper, la Jeep a perdu la moitié de sa vitesse, puis a ralenti jusqu'à ramper.
Après avoir désactivé les freins de la Jeep, les pirates ont laissé le véhicule rouler dans un fossé, avec Greenberg toujours dedans.
Comment ont-ils fait ?
Les détails ne sont toujours pas clairs sur la vulnérabilité exacte utilisée par Miller et Vlasek. Cependant, ce que l'on sait, c'est qu'ils ont utilisé le système d'infodivertissement uConnect de la voiture comme point d'entrée vers ses autres systèmes. En ciblant l'adresse IP de la voiture, Miller et Valasek ont pu exploiter une vulnérabilité pour gagner contrôle sans fil du réseau interne de la Jeep - ou bus CAN - et prenez le contrôle d'une gamme de les fonctions.
Connue sous le nom d'exploit zero-day, la méthode semble fonctionner sur les Jeep Cherokees fabriqués entre 2013 et 2015, mais elle pourrait potentiellement fonctionner sur d'autres Chrysler équipées du système uConnect. "Du point de vue d'un attaquant, c'est une très belle vulnérabilité", a déclaré Miller.
Les systèmes d'infodivertissement sont-ils le paradis des hackers ?
Ce n'est pas la première fois que Miller et Valasek ont piraté des systèmes automobiles: en 2013, ils ont publié des outils permettant d'accéder à des systèmes sur le Toyota Prius 2010 et Ford Escape 2010, bien que dans ces cas, le piratage ait nécessité un accès physique à un port de diagnostic dans le voiture.
Comme les constructeurs automobiles ont inclus de plus en plus de technologies dans leurs voitures - des téléphones aux applications et même aux points d'accès Wi-Fi - ils ont également dû lutter contre les mêmes types de potentiel de piratage et de vulnérabilités que les fabricants d'ordinateurs ont eu pour années. Et bien que les nouvelles lois britanniques insistent sur le fait que les voitures autonomes doivent disposer de systèmes embarqués sûrs et sécurisés, il n'en va pas de même pour ceux qui sont déjà sur nos routes.
Pour les hackers, la démonstration a été en partie faite pour les sensibiliser au problème. "Si les consommateurs ne réalisent pas qu'il s'agit d'un problème, ils devraient le faire, et ils devraient commencer à se plaindre auprès des constructeurs automobiles", a déclaré Miller. "C'est peut-être le genre de bogue logiciel le plus susceptible de tuer quelqu'un."
Libérer le code
Le mois prochain, Miller et Valasek partageront plus de détails sur leur méthode à Las Vegas. Conférence sur la sécurité Black Hat, mais omettra les aspects clés du piratage pour éviter que l'incident ne se reproduise. Cependant, les constructeurs automobiles ont suggéré que les pirates pourraient aggraver les choses.
Une déclaration publiée par Chrysler disait: « Nous apprécions les contributions des défenseurs de la cybersécurité pour améliorer la compréhension de l'industrie des vulnérabilités potentielles. Cependant, nous avertissons les partisans que dans la poursuite de l'amélioration de la sécurité publique, ils [ne] compromettent pas, en fait, la sécurité publique.
Bien que les chercheurs en sécurité puissent avoir de bonnes intentions, les préoccupations de Chrysler sont valables. Dans leurs efforts pour sensibiliser le public au problème, Miller et Valasek ont, par inadvertance, donné une longueur d'avance à ceux qui souhaitaient imiter leur hack.
