Confidentialité
Nos « ordinateurs sur roues » sont plus connectés que jamais, mais les fonctionnalités qui améliorent notre commodité s’accompagnent souvent de risques pour la vie privée.
13 décembre 2024
•
,
3 minutes. lire
Une présentation qui inclut dans son titre « Compromis des véhicules modernes » peut laisser penser que vous êtes sur le point de voir une démonstration dramatique d’une voiture piratée s’arrêtant soudainement ou faisant un écart sous le contrôle d’un mauvais acteur. Lisez le résumé pour découvrir que « seul » le système d’infodivertissement de la voiture, plutôt que ses systèmes de conduite critiques, présente des vulnérabilités et vous vous sentirez presque déçu. Malgré cette tournure décevante, la recherche de PCAutomotive, présentée par Danila Parnishchev et Artem Ivachev au Black Hat Europe 2024, est importante.
Les deux chercheurs en sécurité ont détaillé comment des acteurs malveillants pourraient exploiter diverses failles dans les unités d’infodivertissement pour contrôler le microphone du véhicule, enregistrer les occupants et lire l’enregistrement sur le même système, exfiltrer des données personnelles, suivre la voiture et sa vitesse via le GPS intégré, et voler la liste de contacts qui avait été téléchargée via un appareil connecté.
Pourtant, pour une raison quelconque, cela semble moins invasif que, par exemple, une attaque contre un smartphone qui permet à l’attaquant de suivre l’appareil, de contrôler son microphone et d’exfiltrer des données et des contacts. L’espoir de pouvoir pirater une voiture fournit une image visuelle d’une catastrophe, d’un danger pour la vie des personnes à bord de la voiture et des autres. Ainsi, lorsque le problème s’avère concerner « uniquement » la vie privée et les données personnelles, cela ressemble à un soulagement. . Toutefois, cela ne veut pas dire que les implications potentielles en matière de vie privée doivent être sous-estimées.
La mécanique d’un hack
Lorsque vous connectez pour la première fois un smartphone au système d’infodivertissement d’une voiture, vous avez généralement la possibilité de télécharger et de synchroniser les contacts directement avec le système de la voiture. Cela permet un accès transparent aux contacts sur l’écran et vous permet de passer des appels selon vos besoins. Les chercheurs ont découvert qu’en téléchargeant une liste de contacts modifiée, ils pouvaient exploiter une vulnérabilité du système et émettre des commandes à distance (exécution de code à distance – RCE).
Une fois dans le système, et comme mentionné ci-dessus, ils peuvent contrôler certains éléments du système d’infodivertissement et exfiltrer les données. Les vulnérabilités décrites par l’équipe lors de la conférence ont touché 1,4 million de véhicules, mais surtout, les 21 vulnérabilités ont été résolues avec des logiciels mis à jour par les fabricants concernés.
Cela dit, les problèmes de confidentialité mis en évidence sont importants, tout comme les possibilités d’abus. Imaginez un partenaire contrôlant qui suit son partenaire et accède à ses contacts et à d’autres données, via le système d’infodivertissement de la voiture et à l’insu ou sans le consentement de la victime. Il y a aussi l’aspect tout aussi troublant de l’espionnage. Je suis sûr que vous pouvez visualiser comment ce type de piratage pourrait être exploité à des fins de surveillance et de collecte de renseignements à grande échelle.
Aborder l’évolution avec prudence
Le titre de la présentation, et d’autres présentations similaires, peut involontairement induire l’esprit en erreur et même susciter la méfiance à l’égard de ce que nous devrions adopter. L’industrie automobile se transforme et de telles représentations du risque pourraient même miner la confiance du public dans ces innovations.
Par exemple, j’ai récemment eu l’expérience de monter dans un taxi sans chauffeur Waymo à Phoenix. Demandé via une application, la voiture s’arrête, vous montez à bord et, une fois à l’aise, appuyez sur le bouton pour commencer le voyage : je suis passé d’un hôtel à l’aéroport. J’ai fait ce qui était obligatoire et j’ai pris une courte vidéo à partager avec mes amis et ma famille – regardez, il n’y avait pas de chauffeur. La réponse courante était « jamais, pas pour moi, ne vous êtes-vous senti en sécurité ? »
Je suis sûr qu’un psychologue peut expliquer ces sentiments en détail ; pour moi, cependant, il s’agit de faire confiance à un processus réglementaire, à une évaluation des risques et aux ingénieurs talentueux qui l’ont développé. Les voitures de Waymo ne sont pas des prototypes aléatoires ; ils ont été testés, approuvés par les régulateurs et les défenseurs de la sécurité, tandis que les assureurs ont décidé que le risque est acceptable – ce qui n’est pas une mince affaire.
Lorsqu’on m’interroge sur les présentations auxquelles j’ai assisté à Black Hat Europe cette année, je ne dirai pas que « quelqu’un a démontré comment pirater un véhicule ». Je serai plus précis et expliquerai que « quelqu’un a démontré comment compromettre le système d’infodivertissement d’un véhicule ».
Cette distinction est importante. Nous ne devons pas susciter la peur de la technologie mais plutôt accepter son évolution. Les failles et les correctifs ultérieurs font partie de l’évolution, et nous devons aborder le changement avec un sentiment d’ouverture mais aussi, je l’avoue, avec une certaine prudence.
