Voiture connectée : la queue de poisson d’un hacker

M2MRéseauxRisquesSécurité
hacker-voiture-connectee

Les failles de sécurité dans les voitures connectées peuvent désormais être détectées avec un kit logiciel open source associé à une carte d’interface.

Eric Evenchick aura fait une intervention remarquée dans le cadre de la BlackHat Asie, qui se tient actuellement à Singapour.

Cet ancien employé du constructeur automobile américain Tesla a élaboré une carte d’interface associée à un kit logiciel open source permettant de tester les vulnérabilités des contrôleurs embarqués dans les véhicules.

Baptisé CANard, cet outil de diagnostics communique directement avec le CAN (Controller Area Network), un bus de communication très employé dans le secteur. Développé en Python, il doit aider l’industrie à prendre plus au sérieux les questions de sécurité au sein des voitures connectées.

La carte associée utilise une connexion USB pour s’interfacer avec le CAN, via un port nommé OBD-II, comme on peut le voir sur le schéma d’assemblage (document PDF). Elle sera vendue moins de 60 dollars sous la marque CANtact, la compatibilité étant assurée avec OS X, Windows et Linux.

« Cette boîte à outils permettra de travailler facilement avec le CAN, de dialoguer avec les contrôleurs embarqués dans les voitures, de réaliser des diagnostics et de tester automatiquement la présence d’éventuelles vulnérabilités », résume Eric Evenchick.

Le design ouvert de cette carte place le piratage de voitures informatisées à la portée d’à peu près n’importe qui. C’est d’autant plus inquiétants pour les constructeurs que ces derniers mois, la porosité des systèmes embarqués dans les automobiles a été démontrée à plusieurs reprises… avec des technologies de plus en plus banalisées.

Illustration avec ces chercheurs qui, financés par la Darpa (agence chargée des technologies émergentes au sein du département américain de la Défense), ont pris le contrôle d’un véhicule depuis un simple PC portable.

L’initiative d’Eric Evenchick fait suite à celle de Chris Valasek et Charlie Miller, qui avaient, en 2013, reversé plusieurs scripts Python à la communauté open source.  Elle va néanmoins plus loin en y ajoutant l’interface matérielle.

Comme le note Silicon.fr, Face à la montée de ces menaces, les constructeurs ont plutôt adopté jusqu’alors la politique de l’autruche. Très peu d’industriels ont ainsi publié des procédures permettant aux chercheurs en sécurité de les alerter avant la divulgation des failles.

Crédit photo : vichie81 – Shutterstock.com