FIC 2020 : comment hacker une voiture de série en deux leçons
Le Forum International de la Cybersécurité (FIC) a ouvert ses portes ce matin. Futura y a rencontré le hacker Gaël Musquet. Il nous a montré comment, avec très peu de moyens, il est possible de faire stopper n'importe quel véhicule à distance ou d'ajouter la conduite autonome à une voiture dotée d'options d'assistances. Reportage.
Vous aimez nos Actualités ?Inscrivez-vous à la lettre d'information La quotidienne pour recevoir nos toutes dernières Actualités une fois par jour.Cela vous intéressera aussiÀ Lille, se tient actuellement le Forum International de la Cybersécurité. Cette grande messe de la cybersécurité rassemble les grands noms et les petits acteurs du secteur pour le grand public, les pros, les services cyber de l'armée ou du ministère de l'Intérieur. C'est également un repaire à hackers. Futura a pu rencontrer l'un d'eux, Gael Musquet, un hacker « citoyen » membre du collectif YesWeHack. Cette plateforme met en relation des entreprises ou des institutions et des hackers, afin que ces derniers cherchent et identifient les failles de sécurité de leurs produits.
Sur son stand, Gaël Musquet démontre, parfois devant les yeux ébahis des membres de l'ANSSI ou de la gendarmerie, que n'importe quelle voiture de série peut être piratée. « Je vais vous montrer comment arrêter n'importe quel véhicule à distance avec un simple émetteur-récepteur que l'on trouve sur les valves de pneus de la plupart des voitures depuis 2012 », annonce-t-il après avoir expliqué comment voler une voiture en piratant la clé de contact de son propriétaire à son insu.
Le principe est simple, avec une antenne, d'une portée suffisamment importante, et d'un ordinateur doté d'un logiciel libre, il suffit de collecter les données que chaque valve transmet par ondes radio à l'ordinateur de bord. La démonstration est impressionnante puisque l'ensemble des numéros de série des valves de pneus des véhicules qui passent à proximité s'affiche en temps réel. À titre d'exemple, le hacker en donne une illustration convaincante : « Admettons que j'ai identifié le numéro de série des valves de la voiture du Ministre qui vient faire son tour au FIC. Dès qu'il en sort et reprend la route, avec mon antenne, je peux envoyer à distance une fausse information à l'ordinateur de bord du véhicule. Le tableau de bord va, par exemple, afficher une alerte de basse pression ou de surchauffe des pneus. Le chauffeur ne prendra pas de risque et stoppera la voiture. Je vous laisse imaginer les possibilités... ».
Non chiffrée, la liste des identifiants de valve et la pression des pneus des véhicules circulant à proximité du bâtiment s’affichent sur l’ordinateur. La RGPD est omniprésente… sauf sur les routes. © Futura
Des logiciels libres et un peu de matériel
Mieux encore, ce féru des ondes montre comment il a transformé une Toyota HRV hybride équipée de nombreuses assistances à la conduite, en voiture autonome simplement en connectant son smartphone à l'ordinateur de bord. Ce procédé pourrait fonctionner avec n'importe quelle auto dotée du même niveau d'assistance. Il suffit de quelques centaines d'euros d'équipements, dont une prise compatible avec celle du véhicule, de logiciels libres et d'un PC animé de Linux. Une fois connecté à la prise diagnostic du véhicule, Linux va considérer l'auto comme un simple périphérique. Il s'agit ensuite de décoder les flux de données et d'utiliser des bibliothèques, elles aussi en open source, pour faire le reste.
Ensuite, c'est avec le logiciel libre OpenPilot que le mobile vient exploiter tous les capteurs du véhicule pour donner des instructions grâce aux données de géolocalisation et un autre logiciel libre, Open Street Map. Ainsi, c'est l'assistance au stationnement qui permet d'ajuster la position du volant. Pour le frein, l'accélérateur, les assistances sont aussi détournées de leurs fonctions initiales. Selon le hacker, l'auto pourrait s'arrêter toute seule au feu grâce aux données d'Open Street Map.
Le hacking consiste à envoyer des instructions dans le calculateur que l'on voit au premier plan, via la prise de diagnostic du véhicule. Ce sont des logiciels libres qui font le travail. Il est alors possible de détourner l’ensemble des assistances et des capteurs afin de délivrer un mode de conduite autonome. © Futura
Aider à renforcer la sécurité des automobiles
C'est de cette façon qu'en 2019, le hacker a parcouru 10.000 km sans toucher au volant de la Toyota HRV présentée sur le stand. « C'est tout à fait illégal », rappelle Gaël Musquet, mais cela vient prouver, hormis chez Tesla qui fait tester les vulnérabilités de ses modèles par des hackers, que les problématiques de cybersécurité ne sont pas prises en compte par la majorité des constructeurs et équipementiers automobiles.
« Imaginez le résultat si quelqu'un de malveillant va un peu plus loin. Ce n'est pas de la science-fiction ; en modifiant un peu tout ça, je peux faire piloter la voiture via une manette de jeux par mon fils de 12 ans ». Par ce type d'action, le hacker souhaite que les constructeurs et notamment, les Français, s'alignent sur l'exemple de Tesla et se mettent à collaborer avec des hackers pour améliorer la sécurité des véhicules. Pour le moment, ils semblent rester sourds à ses sollicitations.
Intéressé par ce que vous venez de lire ?Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information!
Merci pour votre inscription.Heureux de vous compter parmi nos lecteurs !