Eric Evenchick aura fait une intervention remarquée dans le cadre de la BlackHat Asie, qui se tient actuellement à Singapour.
Cet ancien employé du constructeur automobile américain Tesla a élaboré une carte d’interface associée à un kit logiciel open source permettant de tester les vulnérabilités des contrôleurs embarqués dans les véhicules.
Baptisé CANard, cet outil de diagnostics communique directement avec le CAN (Controller Area Network), un bus de communication très employé dans le secteur. Développé en Python, il doit aider l’industrie à prendre plus au sérieux les questions de sécurité au sein des voitures connectées.
La carte associée utilise une connexion USB pour s’interfacer avec le CAN, via un port nommé OBD-II, comme on peut le voir sur le schéma d’assemblage (document PDF). Elle sera vendue moins de 60 dollars sous la marque CANtact, la compatibilité étant assurée avec OS X, Windows et Linux.
« Cette boîte à outils permettra de travailler facilement avec le CAN, de dialoguer avec les contrôleurs embarqués dans les voitures, de réaliser des diagnostics et de tester automatiquement la présence d’éventuelles vulnérabilités », résume Eric Evenchick.
Le design ouvert de cette carte place le piratage de voitures informatisées à la portée d’à peu près n’importe qui. C’est d’autant plus inquiétants pour les constructeurs que ces derniers mois, la porosité des systèmes embarqués dans les automobiles a été démontrée à plusieurs reprises… avec des technologies de plus en plus banalisées.
Illustration avec ces chercheurs qui, financés par la Darpa (agence chargée des technologies émergentes au sein du département américain de la Défense), ont pris le contrôle d’un véhicule depuis un simple PC portable.
L’initiative d’Eric Evenchick fait suite à celle de Chris Valasek et Charlie Miller, qui avaient, en 2013, reversé plusieurs scripts Python à la communauté open source. Elle va néanmoins plus loin en y ajoutant l’interface matérielle.
Comme le note Silicon.fr, Face à la montée de ces menaces, les constructeurs ont plutôt adopté jusqu’alors la politique de l’autruche. Très peu d’industriels ont ainsi publié des procédures permettant aux chercheurs en sécurité de les alerter avant la divulgation des failles.
Crédit photo : vichie81 – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…