Zubie est une petite boîte qui se branche sur le port de diagnostic embarqué (ODBII) trouvé dans la plupart des voitures modernes. Il permet aux utilisateurs de savoir comment ils conduisent, et offre des conseils pour prolonger leur kilométrage avec une conduite raisonnable et économique. Et jusqu'à récemment, Zubie contenait une défaillance grave en matière de sécurité qui pouvait rendre les utilisateurs vulnérables à la détournement de leur voiture.
Le trou - découvert par les anciens élèves de l'Unité 8200, l'équipe d'élite de la cybersécurité de la Force de défense israélienne - pourrait potentiellement voir les attaquants interférer à distance avec le freinage, la direction et le moteur.
Zubie se connecte à un serveur distant via une connexion GPRS, qui est utilisée pour envoyer des données collectées à un serveur central, ainsi que pour recevoir des mises à jour de sécurité.
Les chercheurs ont découvert que l'appareil commettait l'un des péchés cardinaux de la sécurité réseau et ne communiquait pas au serveur domestique via une connexion cryptée. En conséquence, ils ont été en mesure d'usurper le serveur central de Zubie, et d'envoyer des logiciels malveillants spécialement conçus à l'appareil.
D'autres détails de l'attaque sont ci-dessous, et vous serez heureux d'apprendre que le problème a été corrigé depuis. Cela soulève cependant une question intéressante. Dans quelle mesure nos voitures sont-elles sécurisées?
Séparer les faits de la fiction
Pour beaucoup, la conduite n'est pas un luxe. C'est une nécessité
Et c'est une nécessité dangereuse à cela. La plupart des gens connaissent trop bien les risques associés au fait de prendre le volant. Les accidents de voiture sont parmi les plus meurtriers au monde, avec 1, 24 million de vies perdues sur la route en l'an 2010 seulement.
Mais les décès sur les routes diminuent, ce qui est largement dû à la pénétration accrue des technologies sophistiquées de sécurité routière. Il y en a beaucoup trop pour en faire une liste complète, mais l'exemple le plus répandu est peut-être OnStar, disponible aux États-Unis, au Canada et en Chine.
La technologie - disponible exclusivement dans les voitures GM, ainsi que d'autres véhicules par des entreprises qui ont choisi d'autoriser la technologie - surveille la santé de votre voiture. Il peut vous fournir des instructions détaillées et vous pouvez automatiquement demander de l'aide si vous vous trouvez dans un accident.
Près de six millions de personnes s'abonnent à OnStar. D'innombrables autres utilisent un système télématique, qui permet aux assureurs de suivre la façon dont les voitures sont conduites et d'adapter les paquets d'assurance pour récompenser les conducteurs sensibles. Justin Dennis a récemment passé en revue quelque chose de similaire appelé Metronome par Metromile suivre votre kilométrage, les coûts de carburant et plus avec un dispositif OBD2 gratuit suivre votre kilométrage, les coûts de carburant et plus avec un dispositif OBD2 gratuit Aujourd'hui, tout semble être intelligent - sauf nos voitures. Cet appareil gratuit ODB2 et l'application changent cela. Lire la suite, qui est disponible gratuitement pour les résidents de Washington, Oregon, Californie et Illinois. Pendant ce temps, de nombreuses voitures post 1998 peuvent être interrogées et surveillées via le port de diagnostic ODBII grâce à Android Comment surveiller les performances de votre voiture avec Android Comment surveiller les performances de votre voiture Avec Android Suivi des tonnes d'informations sur votre voiture est incroyablement facile et bon marché appareil - en savoir plus ici! En savoir plus et iOS apps smartphone.
Comme ces technologies ont atteint l'omniprésence, de même une prise de conscience que ceux-ci peuvent être piratés. Nulle part ailleurs est plus évident que dans notre psyché culturelle.
Le thriller Untraceable de 2008 mettait en vedette une voiture équipée d'OnStar étant «maçonnée» par l'antagoniste du film afin d'attirer quelqu'un dans un piège. En 2009, la société informatique néerlandaise InfoSupport a lancé une série de publicités montrant un pirate fictif appelé Max Cornellise piratage à distance dans les systèmes automobiles, y compris une Porsche 911, en utilisant uniquement son ordinateur portable.
Donc, avec tant d'incertitude entourant la question, il est important de savoir ce qui peut être fait, et quelles menaces demeurent dans le domaine de la science-fiction.
Une brève histoire de piratage de voiture?
En dehors d'Hollywood, les chercheurs en sécurité ont accompli des choses assez effrayantes avec les voitures.
En 2013, Charlie Miller et Chris Valasek ont démontré une attaque où ils ont compromis une Ford Escape et une Toyota Prius et ont réussi à prendre le contrôle des installations de freinage et de direction. Cependant, cette attaque avait un inconvénient majeur, car il était subordonné à la connexion d'un ordinateur portable dans le véhicule. Cela a laissé les chercheurs en sécurité curieux, et se demandant s'il était possible d'accomplir la même chose, mais sans être physiquement attaché à la voiture.
Cette question a été résolue un an plus tard, lorsque Miller et Valasek ont mené une étude encore plus détaillée sur la sécurité de 24 modèles différents de voitures. Cette fois-ci, ils se concentraient sur la capacité d'un attaquant à mener une attaque à distance. Leur recherche approfondie a produit un rapport de 93 pages, qui a été publié sur Scribd pour coïncider avec leur discours de suivi à la conférence de sécurité Blackhat à Las Vegas.
Cela suggère que nos voitures ne sont pas aussi sûres qu'on le pensait, et que beaucoup d'entre elles ne disposent pas des protections de sécurité cybernétique les plus rudimentaires. Le rapport accablant a mis en évidence l'Escalade de Cadillac, le Jeep Cherokee et l'Infiniti Q50 comme étant les plus vulnérables à une attaque à distance.
Lorsque nous regardons l'Infinity Q10 en particulier, nous constatons des manquements majeurs en matière de sécurité.
Ce qui rend l'Infiniti aussi convaincante qu'une voiture est aussi ce qui la rend si vulnérable. Comme de nombreuses voitures haut de gamme produites ces dernières années, elle est dotée d'un ensemble de caractéristiques technologiques conçues pour rendre l'expérience de conduite plus agréable. Cela va du déverrouillage sans clé à la surveillance sans fil de la pression des pneus en passant par l'application smartphone «assistant personnel» qui s'interface avec la voiture.
Selon Miller et Vlasek, certaines de ces caractéristiques technologiques ne sont pas isolées, mais plutôt directement en réseau avec les systèmes responsables du contrôle du moteur et du freinage. Cela laisse la possibilité à un attaquant d'accéder au réseau interne de la voiture, puis d'exploiter une vulnérabilité située dans l'un des systèmes essentiels afin de provoquer une collision ou d'interférer avec le véhicule.
Des choses comme le déverrouillage sans clé et les 'assistants personnels' sont rapidement considérés comme des éléments essentiels pour les conducteurs, mais comme Charlie Miller l'a si remarquablement souligné, "c'est un peu effrayant qu'ils puissent tous se parler."
Mais nous sommes toujours très dans le monde de la théorie. Miller et Vlasek ont démontré une avenue potentielle pour une attaque, mais pas une attaque réelle. Y a-t-il des exemples de personnes ayant réussi à interférer avec les systèmes informatiques d'une voiture?
Eh bien, les attaques ciblant les fonctions de déverrouillage sans clé ne manquent pas. L'un d'eux a même été démontré plus tôt cette année lors de la conférence Blackhat Security à Las Vegas par le chercheur australien Silvio Cesare.
Utilisant seulement 1000 $ d'outils prêts à l'emploi, il était capable d'usurper le signal d'un porte-clés, lui permettant de déverrouiller une voiture à distance. L'attaque repose sur le fait qu'une personne est physiquement présente près de la voiture, potentiellement pendant quelques heures, alors qu'un ordinateur et une antenne radio transmettent des tentatives pour forcer brutalement le récepteur intégré dans le système de déverrouillage sans clé d'une voiture.
Une fois que la voiture a été ouverte, l'attaquant pourrait alors potentiellement tenter de la voler, ou se servir d'éléments laissés sans surveillance par le conducteur. Il y a beaucoup de potentiel de dégâts ici.
Y a-t-il des moyens de défense?
Ça dépend.
Il existe déjà une forme de protection contre la vulnérabilité d'accès distant découverte par Charlie Miller et Chris Valasek. Dans les mois qui ont suivi leur conversation Blackhat, ils ont été capables de construire un appareil qui agit comme un système de détection d'intrusion (IDS). Cela n'arrête pas une attaque, mais indique au pilote quand une attaque peut être en cours. Cela coûte environ 150 $ en pièces, et nécessite un peu de savoir-faire électronique pour construire.
La vulnérabilité de Zubie est un peu plus compliquée. Bien que le trou ait été réparé depuis, la faiblesse ne résidait pas dans la voiture, mais plutôt dans le dispositif tiers auquel elle était attachée. Alors que les voitures ont leurs propres insécurités architecturales, il semble que l'ajout d'extras supplémentaires ne fait qu'accroître les possibilités d'attaque.
Peut-être que la seule façon d'être vraiment en sécurité est de conduire une vieille voiture. Celui qui manque les cloches-sifflets très sophistiqués des voitures haut de gamme modernes, et de résister à l'envie de pousser les choses dans votre port ODBII. Il y a la sécurité dans la simplicité.
Est-il sécuritaire de conduire ma voiture?
La sécurité est un processus évolutif.
À mesure que les gens comprennent mieux les menaces entourant un système, le système évolue pour se protéger contre eux. Mais le monde automobile n'a pas tout à fait eu son ShellShock Worse Than Heartbleed? Rencontrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux, pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux Lisez plus ou HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite . J'imagine que lorsqu'il aura sa première menace critique - c'est le premier jour zéro, si vous voulez -, les constructeurs automobiles réagiront de manière appropriée et prendront des mesures pour rendre la sécurité des véhicules un peu plus rigoureuse.
Mais qu'est ce que tu penses? Est-ce un peu optimiste? Êtes-vous inquiet au sujet des pirates prenant en charge votre voiture? Je veux en entendre parler. Déposez-moi un commentaire ci-dessous.
Crédits photographiques: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com