Des hackers au volant ? Quand ?

Introduction
Le numérique (c'est le nouveau terme qui élargit "informatique") envahit tous les domaines autour de nous - quelques exemples : la musique, la radio, la photographie, le cinéma, les machines à laver... domaines en cours d'invasion : le livre, les journaux et le journalisme en général qui est en grande révolution.


Un domaine qui m'intéresse aujourd'hui : la voiture.
Si vous entrez dans un garage de mécanique, vous y verrez des humains devant des ordinateurs en train de diagnostiquer l'état des véhicules.
Il y a de plus en plus d'organes gérés par "ordinateur".
Ces ordinateurs ne sont pas ceux de nos salons car ils sont spécialisés avec l'entrée des informations qui n'est pas notre clavier, avec le résultat qui n'est pas nécessairement/directement sur un écran.
La carburation est gérée par ordinateur. La direction est grandement gérée par ordinateur. Le verrouillage des portes, la limitation, la régulation de vitesse... L'allumage des lumières, le fonctionnement des essuie-glaces, la sécurité de la marche arrière, la distance avec le véhicule qui précède, le parquage de la voiture...
Le tableau de bord est devenu un immense écran qui résume certains résultats de capteurs et d'ordinateurs spécialisés logés un peu partout.


La conduite du véhicule entièrement gérée par ordinateur n'est pas tout à fait pour demain seulement parce que les conducteurs n'y sont pas prêts (dans un avion par contre...). Ce type d'informatique s'appelle informatique embarquée (toute l'informatique qui n'est pas sur des ordinateurs traditionnels mais spécialisés : machines à laver, carburation, etc.)
N'y a-t-il pas déjà eu quelques soupçons de "c'est-allé-trop-loin" vite étouffés pour ne pas affoler ? vous souvenez-vous de conducteurs qui n'avaient pas pu ralentir ou arrêter leur véhicule ?


Mon sujet : à quand des hackers au volant ???
Un ordinateur en réseau est un ordinateur en danger.
Les hackers ont déjà craqué les codes de grandes banques ou du compte Twitter de Barack Obama... et si des hackers prenaient le contrôle des systèmes intégrés de nos voitures ?

Un groupe de scientifiques s'est penché sur la question : mise hors d'état de fonctionnement des freins, arrêt du moteur, verrouillage des portes, etc.
Obligatoire aux Etats-Unis, un port de diagnostic classiquement situé sous le tableau de bord, centralise l'ensemble de l'informatique d'un véhicule.
L'enjeu pour un malfaiteur est donc d'accéder à ce port.
Certains font valoir qu'il faut accéder physiquement à ce port, sous le tableau de bord, à l'intérieur de la voiture.
Une berline haut de gamme comporte aujourd'hui environ 100 Mo de code qui contrôlent 50 à 70 ordinateurs communicant via un réseau.
Ceci signifie qu'en prenant le contrôle de l'un d'entre eux, le malfaiteur a de grandes chances de pouvoir accéder à tous !
Certains de ces systèmes sont accessibles à distance. Il y a même des interconnexions surprenantes et inquiétantes : pour raison de sécurité, les portières sont déverrouillées lors de l'ouverture des air-bags (le système de verrouillage des portes est donc en connection avec celui de la détection des accidents).
Ceci signifie qu'une personne malveillante pourrait exploiter ces caractéristiques/spécificités et qu'il n'est pas nécessaire d'accéder physiquement à l'intérieur de la voiture et du tableau de bord et du fameux port !!!

L'inquiétant est que les responsables nient et rejettent tout en bloc en ricanant et qu'il est extrêmement difficile de discuter, d'étudier et donc de résoudre les faiblesses en toute sérénité. Ceci me rappelle nombre de scandales récemment médiatisés (lorsque les responsables nient à ce point, les problème n'émergent que des décennies plus tard après quelques belles catastrophes) ! Il serait si simple d'ouvrir les yeux et d'être capable de ne pas camper sur des certitudes arrogantes et coupables !

Les chercheurs (demandez Stephan Savage de l'Univ de Californie à San Diego et Tadayoshi Kohno de l'Univ de Washington) en sont à travailler en environnement hostile leur faisant perdre un temps fou car ils doivent tout découvrir du fonctionnement normal (les constructeurs n'aident absolument pas), apporter mille preuves de ce qu'ils disent et conquérir chaque pouce de terrain : fuzzing, développement d'attaques, mise en oeuvre des attaques sur voiture à l'arrêt, sur voiture en train de rouler.

Les attaques ont fonctionné !

Les solutions ne sont pas faciles car, par exemple, une solution informatique classique est de stopper le processus en dysfonctionnement : va-t-on mettre hors service le système de freinage ? ;-)

"Le moment est probablement venu pour les constructeurs et les législateurs de revoir de fond en comble la manière de sécuriser les systèmes de nos automobiles qui comprennent des logiciels et des connexions de plus en plus complexes." (Kevin Fu de l'Univ du Massachusets)

Documents
- (GovInfoSecurity 8 novembre 2010) Hackers' Future Target: Automobiles - Could Terrorist Insert Malicious Code to Create Havoc on the Interstate?
- (AboveTopSecret 18 mai 2010) Hackers can turn your car into a death trap
- (CarAdvice 16 mai 2010) Cracking the Code: Can hackers kill your car?
- (InsideLine 14 mai 2010) Researchers Show Hackers Can Wreak Havoc on Cars
- (NY Times 14 mai 2010) Cars’ Computer Systems Called at Risk to Hackers
- (Jalopnik 26 avril 2010) Hackers Turn New Car Into Full-Sized Game Controller
- (Autosec.org 2010) Experimental Security Analysis of a Modern Automobile (PDF 16 pages par Tadayoshi Kohno, Stefan Savage et leur équipe)
Demandez à Google ce qu'il a à dire si vous l'interrogez sur "Hackers at the steering wheel of your car".

gM

PS 7 janvier 2011 : (ThreatPost) With Autos At CES, Are Vehicle Hacks Far Behind?