Des universitaires américains ont voulu évaluer la sécurité du système informatique embarqué dans les véhicules modernes. Bilan de l’opération : en connectant un ordinateur portable au véhicule via son port de maintenance standard, ils sont parvenus à en prendre le contrôle intégral, et notamment à désactiver le freins en route.
Un simple ordinateur portable, un véhicule récent et surtout une bonne dose de travail, c’est tout ce qu’il aura fallu à une équipe de chercheurs américains des universités de Californie et Washington pour prendre le contrôle des fonctions critiques – et moins critiques – de l’automobile. Leur rapport sera annoncé à l’occasion d’une conférence la semaine prochaine aux Etats-Unis, mais le document est dores et déjà téléchargeable au format PDF sur leur site.
Les résultats obtenus par l’équipe laissent songeur : à l’aide d’un outil développé sur mesure baptisé CarShark, ils sont notamment parvenus à neutraliser les freins du véhicule en cours de fonctionnement ou encore à couper le moteur et verrouiller les portières après avoir affiché un décompte sur le tableau de bord.
D’une lecture passionnante, le document qu’ils publient détaille notamment le système informatique des véhicules les plus récents. Ils y expliquent que celui-ci est basé sur un ou plusieurs bus de communication génériques et non sur un câblage ad-hoc qui serait moins « scalable« .
De fait toutes les fonctions automatisées du véhicule sont donc accessibles en se connectant à un simple bus. Ce dernier, le plus souvent au format Controller Area Network (CAN) ou FlexRay, est basé non pas sur un adressage direct mais sur la notion de diffusion (publish-and-subscribe : tous les paquets sont envoyés à tous les noeuds et chacun décide si la requête diffusée le concerne ou pas). A ce stade, tous nos lecteurs qui ont déjà joué avec ARP commencent probablement à entrevoir un bout du problème…
Mieux (ou pire…), les paquets CAN n’offrent ni identifiant ni mention de la source. Il est alors impossible de les filtrer et n’importe qui peut donc injecter n’importe quoi sur le bus, à destination de n’importe quel composant.
Pour autant, l’accès à l’unité de contrôle électronique (ECU) est censé être protégé. Les chercheurs expliquent qu’un système d’authentification mutuelle est mis en oeuvre pour cela par le fabriquant. Mais ils reconnaissent aussi que non seulement la plupart des clés sont déjà connues des amateurs de tuning automobile (elles sont nécessairement accessibles aux techniciens des centres de maintenance), mais surtout qu’elles peuvent être « brute forcées » en une semaine et demi, voire trois jours et demi si la puce visée peut être retirée et attaquée en laboratoire. Pour le reste, un câble CAN-to-USB, en vente libre, fera l’affaire.
Pour ajouter à un tableau déjà bien chargé, les chercheurs ont également découvert que les implémentations actuelles du standard ECU prennent à l’occasion certaines libertés avec la norme. Il est ainsi censé être impossible de re-flasher la mémoire ou d’éteindre le système alors que le véhicule roule, et les clés d’authentification mutuelle doivent être différentes même sur des composants identiques. Mais rien de cela n’est implémenté dans le modèle testé (dont les chercheurs ne révèlent pas la marque mais publient une photo)
Le contrôle obtenu sur ce véhicule de test par les chercheurs est impressionnant. Tout y passe : maîtrise du panneau des instruments (afficher n’importe quelle vitesse, n’importe quelle quantité de carburant restant, etc…), de la radio (monter le volume à fond sans possibilité pour le conducteur de le baisser ou d’éteindre la radio), des portières (verrouillage automatique sans possibilité de les rouvrir, destruction du système de verrouillage par usage répété), du moteur (arrêt, emballement, etc…), des freins (activation, désactivation), de la climatisation et de nombreuses autres fonctions (balais essuie-glace, ouverture du coffre, lumières intérieures…). Cerise sur le gâteau : la plupart de ces attaques n’ont demandé qu’entre 100 et 200 lignes de code.
Si la publication de ce travail de recherche fera probablement grand bruit, elle ne surprendra pas certains spécialistes. Ainsi lors de notre visite récente aux fonctionnaires de l’Institut de recherche criminelle de la gendarmerie nationale, l’un des militaires nous confiait déjà avoir travaillé sur un cas de sabotage de la puce électronique en charge du freinage sur une berline moderne, qui avait été modifiée dans le but de provoquer un accident.
Les plus paranoïaques imagineront probablement que certaines agences gouvernementales ont du étudier les bus CAN, FlexRay et autres ECU depuis un moment déjà.
Entrées (flux RSS)