Dans un paysage cyber en constante évolution, le secteur de la tech empêche-t-il le piratage des véhicules autonomes ?
À l’ère de l’Internet des objets (IoT), pratiquement chaque aspect de notre quotidien est accessible sur le Web. Notre dossier médical, nos habitudes de consommation, notre vie sociale, tout est numérisé et accessible en ligne.
En stockant nos données personnelles en ligne, nous risquons de nous les faire voler. Pire encore, nous pouvons être victimes d’usurpation d’identité. (Rassurez-vous, il existe des mesures à prendre pour s’en prémunir et des recours possibles si cela devait vous arriver !) Toujours est-il que les réseaux en ligne stockent bien plus que nos informations personnelles.
Bon nombre de nos infrastructures indispensables, comme les réseaux électriques et les usines de traitement de l’eau, sont elles aussi accessibles sur Internet, ce qui constitue une menace pour la survie de ceux qui en dépendent. Au fur et à mesure des progrès technologiques, l’équipement matériel et les technologies opérationnelles (OT) comme les voitures autonomes, l’IA ou encore les drones, sont également connectés aux réseaux en ligne et contrôlables à distance.
Et si une personne malveillante parvenait à s’en emparer ? Cody Johnston, animateur de podcast, imaginait ce type de piratage OT dans un tweet publié au mois de février :
« Ma Tesla a été piratée et fait des donuts dans ma cour ; je ne peux pas monter dedans car les poignées sont bloquées. Il est 3 heures du matin, la musique est à fond et les pneus sont en train de fondre. Soyons clairs, c’est ma faute. Je n’ai rien contre Tesla. »
Aussi drôle et farfelu qu’il puisse paraître, ce scénario est bien plus probable que nous ne le pensons.
Cybersécurité et voitures autonomes
En janvier 2022, David Colombo, 19 ans, hacker éthique (qui recherche des failles exploitables dans le but d’instruire le grand public, et non de frauder), a piraté les logiciels tiers dont sont équipées les voitures Tesla. Il a pu accéder à distance à 25 véhicules Tesla dans 13 pays.
Bien qu’il ne soit pas parvenu à piloter ces véhicules à distance (pas de donuts), il a pu les déverrouiller, désactiver leur système de sécurité et même diffuser de la musique via YouTube. Il a pu également démarrer les voitures, ouvrir les vitres et allumer les feux, ce qui perturberait et mettrait en danger le conducteur.
Ce qui a permis à Colombo d’envoyer toutes ces commandes aux voitures, c’est un logiciel tiers non sécurisé appelé TeslaMate qui contrôle les fonctions d’un petit pourcentage de véhicules Tesla via l’API de la marque. À la suite de cette découverte, TeslaMate a publié une mise à jour refusant l’accès à distance aux utilisateurs non autorisés.
Dans une publication Medium, Colombo explique les détails de ce piratage, rappelant qu’il appartient aux utilisateurs de se protéger. Il conseille notamment de rester vigilant quant au partage d’identifiants et de mettre à jour régulièrement vos logiciels afin d’en utiliser la version la plus récente et sécurisée.
CONSEIL : si vous avez partagé vos identifiants dans Dashlane, vous pouvez révoquer l’accès et/ou modifier vos mots de passe grâce au bouton « rupture », notre fonctionnalité qui permet de révoquer l’accès aux mots de passe.
Ce piratage met en lumière la vulnérabilité des technologies accessibles sur Internet. Colombo demandait à Elon Musk, PDG de Tesla Motors, si le bouton d’urgence visant à couper la connectivité des voitures Tesla était toujours d’actualité. En effet, cette idée évoquée par Tesla ne s’est jamais concrétisée. À l'heure qu'il est, ce tweet reste sans réponse.
Risques réels
Dans son rapport de 2021, l’Agence européenne pour la cybersécurité met en garde contre les risques liés à l’intégration de l’IA dans les voitures autonomes. Selon ce rapport, il suffirait qu’un acteur malveillant modifie l’aspect d’un panneau de signalisation ou le marquage au sol pour tromper l’IA embarquée, conçue pour analyser le trafic.
Tout produit technologique opéré ou construit grâce à l’IA, comme les avions et les robots industriels, peut être manipulé à des fins malveillantes. Les entreprises technologiques doivent faire preuve de vigilance, sans quoi les systèmes OT peuvent être exploités pour mener des actions malveillantes.
La communauté technologique (dont fait partie l'Allemand David Colombo) s’attache à aider les consommateurs et à pousser les acteurs du secteur à tester la sécurité de leurs produits face aux cybermenaces.
Par ailleurs, les consommateurs peuvent à leur tour prendre des mesures pour protéger leur Tesla et leurs autres appareils. En plus de mettre à jour régulièrement leurs logiciels et de sécuriser leurs identifiants et informations personnelles, il peuvent s’intéresser aux pratiques de sécurité des différentes marques afin de choisir le produit le plus adapté.
Le saviez-vous ? Dashlane vous alerte lorsqu'une faille ou une tentative de piratage menace vos données.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
Nous vous remercions ! Vous êtes abonné. Soyez à l'affût des mises à jour envoyées directement à votre boîte de réception.
