samedi 25 juillet 2015

Les Crises.fr : 500 000 voitures piratables et contrôlables à distance, dès aujourd’hui !

http://www.les-crises.fr


                                       Des images pour comprendre
25
Juil
2015

500 000 voitures piratables et contrôlables à distance, dès aujourd’hui !


Bah allez, en passant, j’ai trouvé éloquent cette nouvelle marche en avant du progrès… ;)
Publié par Guillaume Champeau, le Mercredi 22 Juillet 2015
Des chercheurs en sécurité informatique spécialisés dans l’automobile ont démontré qu’il était possible, dès aujourd’hui et sans effort, de prendre le contrôle de centaines de milliers de véhicules connectés à internet. Une situation aux conséquences potentielles gravissimes.
Avoir un bug ou une faille de sécurité en informatique est quelque chose de courant. C’est souvent gênant, énervant, frustrant, et parfois même dangereux pour la vie privée. Mais c’est rarement dangereux pour la vie tout court. Le développement des voitures connectées à internet et dont des éléments mécaniques sont contrôlés par des des composants électronique change toutefois la donne, comme l’avaient montré des soupçons de meurtre par piratage de voiture en 2013.
Imaginez en effet que vous rouliez tranquillement à 130 km/h sur l’autoroute et que d’un seul coup, les freins lâchent, parce que quelque part dans le monde, quelqu’un cliqué sur un bouton pour désactiver la pédale de frein. Ou que votre moteur s’arrête en pleine route, sans bas côté pour se mettre à l’abri d’un camion qui comprendrait trop tard que vous ne roulez plus. Ce n’est déjà plus de la science-fiction ou un problème de sécurité théorique.
C’est d’ores et déjà, au moment même où vous lisez ces lignes, le risque qu’encourent concrètement les propriétaires de véhicules Chrysler qui utilisent la plateforme UConnect, également utilisée par Fiat, Dodge, ou Jeep. Et c’est certainement un risque qui existe aussi avec de nombreux autres véhicules utilisant d’autres services qui permettent de connecter la voiture à internet pour recevoir des informations, des mises à jour, donner accès à des services en ligne, à un GPS, etc.
Les chercheurs en sécurité informatique Charlie Miller et Chris Valasek ont ainsi démontré auprès de Wired qu’ils avaient réussi à gagner l’accès à distance, par internet, à tous les véhicules Chrysler vendus depuis fin 2013 avec le système UConnect. Tout ce qu’il leur faut connaître est l’adresse IP du véhicule, qu’ils arrivent à obtenir au hasard de scans réalisés sur le réseau. Ils estiment que 471 000 véhicules seraient ainsi vulnérables. Une fois cet accès obtenu, les hackers envoient un firmware modifié au chipset du système de divertissement à bord, qui peut alors envoyer des commandes à travers le bus CAN de la voiture, reconnues par les divers composants de la voiture.
A distance, les hackers peuvent ainsi réaliser des actions anodines comme allumer la radio, augmenter le son, mettre en route la ventilation, klaxonner ou activer les essuis-glaces, mais aussi, ce qui est gravissime, couper le moteur, accélérer, freiner brutalement, ou même tourner le volant (pour l’instant uniquement lorsque la vitesse enclenchée est la marche arrière, qui permet d’activer le système de parking automatique) ou désactiver entièrement la pédale de frein. Ils peuvent aussi obtenir la géolocalisation précise d’un véhicule et suivre tout son parcours.
Les deux chercheurs ont prévu de révéler une partie du code source lors de la prochaine conférence Black Hat de Las Vegas, au mois d’août. Ils ne publieront pas les commandes vitales obtenues après plusieurs mois de reverse-engineering, mais donneront tout de même des clés et un logiciel permettant de s’amuser avec le tableau de bord. Le groupe Fiat Chrysler, pour sa part, a publié un patch à appliquer par clé USB.
Longtemps négligée, la sécurité informatique au coeur des véhicules est désormais prise au sérieux par les constructeurs, et même par des éditeurs anti-virus qui ouvrent des unités dédiées. Tesla, dont les voitures sont extrêmement dépendantes de l’électronique et qui sont connectées en permanence à internet, a également recruté une armée de hackers pour mettre à l’épreuve la sécurité de ses voitures.
Un seul bug critique exploitable à distance, et ce sont potentiellement des dizaines ou des centaines de milliers d’accidents mortels qu’un pirate pourrait déclencher en un clic depuis son fauteuil.
Source : http://www.numerama.com/magazine

32 réponses à 500 000 voitures piratables et contrôlables à distance, dès aujourd’hui !

Commentaires recommandés

RGTLe 25 juillet 2015 à 04h49
Les dispositifs connectés sont un véritable risque non seulement pour votre vie privée mais aussi par les opportunités offertes à des personnes mal intentionnées de pouvoir altérer le fonctionnement de ces appareils.
J’ai commencé à utiliser l’informatique au début des années 80 (avec initiation à la fin des années 70) et si les ordinateurs étaient à l’époque une belle avancée, la folie des gadgets “connectés” qui a envahi notre vie quotidienne ne cesse de m’inquiéter.
Même les trucs les plus anodins peuvent être des atteintes très graves à votre vie privée : La dernière “folie” concerne les montres connectées qui permettent de connaître votre rythme cardiaque et votre tension (voire même plus d’infos selon le modèle).
Imaginez la bénédiction pour quiconque souhaite connaître votre état de santé : Assurances, banques (crédits), “partenaires commerciaux” qui peuvent savoir si vous êtes en forme ou pas, etc.
Bref, un bon moyen pour vous espionner et pour “profiter” de certaines opportunités dans le business.
De même, nous avons aujourd’hui des frigos, des fours, des machines à laver connectés…
Entre nous, pourquoi faire ??? Je n’en vois pas trop l’utilité si ce n’est pour nous vendre très cher des gadgets inutiles et faciliter ainsi l’obsolescence programmée. Sans compter les risque de dysfonctionnements en cas de piratage (rupture de la chaîne du froid pour un congélateur par exemple)…
De même, avis à tous les propriétaires de smartphones, “souriez, vous êtes filmés et géologalisés” à votre insu. Achetez un téléphone “basique” (voire même récupérez un viel appareil de la fin des années 90, il télépone nettement mieux même dans les coins les plus reculés) et éteignez-le quand vous n’en avez pas besoin (durée de vie des batteries X4 ou 5 et en plus on ne peut pas vous pister).
Et concernant des appareils nécessitant un grand niveau de sécurité (véhicules entre autres) avoir un système “connecté” c’est vraiment se tirer une balle dans le pied.
AUCUN système programmé n’est exempt de bugs et de failles de sécurité. AUCUN.
Si en plus ledit système est connecté à la terre entière, c’est de la folie pure.
Si seul l’autoradio ou le GPS sont “connectés” et qu’ils sont PHYSIQUEMENT indépendants du reste du véhicule, le plus gros risque est d’avoir des fonctionnement “étranges” de ces appareils.
Par contre, dans le but d’optimiser les coûts (et aussi d’enfermer le client dans le réseau de distribution) et surtout les profits grâce aux coûts d’entretien qui grimpent en flèche car réalisables uniquement par le réseau du constructeur TOUS les systèmes électroniques des véhicules sont désormais interconnectés et supervisés par le calculateur…
Si l’autoradio tombe en panne, il faut changer la voiture car toute l’électronique est à changer… Le calculateur vérifie que tout fonctionne correctement et refuse de démarrer la voiture si un élément est défectueux (même l’autoradio)…
Je suis ingé électronicien et je conçois des cartes électroniques qui sont ensuite montées dans des appareils divers (des volets roulants aux véhicules, aux avions, hélicos etc…
Dans le cas des appareils “grand public”, la durée de vie garantie de ces appareils (comme les prix sont “tirés” nous faisons le minimum) est seulement de 30 000 heures, soit un peu moins de 4 ans. Et ne vous en faites pas, si on souhaite passer à à 100 000 heures (avec les mêmes composants) le prix des composants est multiplié par 2… Ce qui est inacceptable pour les actionnaires.
Et je ne vous parle pas des “gadgets”. là les composants sont garantis 10 000 heures, voire même 3 000 ou 1 000. Vous comprenez pourquoi votre baladeur MP3 “low cost” tombe en panne au bout de 6 mois?
Et dernier point le plus grave sûrement : Le firmware (logiciel embarqué).
Là aussi les coûts sont “optimisés” et de très nombreux bugs persistent car la qualification complète du logiciel coûterait trop cher…
Sachant que ces “merdiciels” sont de plus en plus développés à la va-vite dans des pays low-cost par du personnel peu qualifié (et peu motivé), c’est même miraculeux que les appareils “tombent en marche”…
Je suis de plus en plus écoeuré par le boulot de conception de merde qu’on me demande de faire.
Je pense que je vais me recycler dans l’élevage ovin au fin fond du Larzac. Je puerais le bouc en rut et on ne viendra plus me déranger pour des conneries.
J’ai depuis longtemps pris mes précautions concernant TOUS les appareils et équippements que j’achète dans ma vie privée. Pas d’électronique si ce n’est pas NÉCESSAIRE ET VITAL.
Et surtout pas de merdouilles “connectées” que je considère comme des “pièges à cons”.
Particulièrement au niveau des véhicules : Ma voiture a 25 ans et elle est “rustique”.
Il y a bien un peu d’électronique embarquée mais en cas de panne la voiture fonctionne toujours en toute sécurité (tout au plus le voyant de l’ABS s’allume mais au moins je peux toujours freiner)…
Et au moins JE N’AI AUCUN RISQUE de se faire hacker ma voiture (voire même de me la faire voler, les voleurs ayant trop honte de s’abaisser à toucher un “vieux truc sale et ringard”).
Il faudrait peut-être en revenir aux fondamentaux ne croyez-vous pas ?
Une voiture, c’est fait pour se déplacer, pas pour surfer sur Internet.
Voir dans la discussion
  1. La suiite ici --->http://www.les-crises.fr/500-000-voitures-piratables-et-controlables-a-distance-des-aujourdhui/
à

Aucun commentaire:

Enregistrer un commentaire