Le patron de cet Observatoire, le colonel Franck Marescal, s’est confié à la revue spécialisée Essor de la Gendarmerie. Et il est préoccupé : « une voiture est devenue plus complexe qu’un ordinateur. Il faut que les constructeurs mettent en place une stratégie informatique, développent des logiciels pour se protéger contre ces attaques. La sécurité des véhicules ne s'improvise pas ». Des propos en guise d’état des lieux : la technologie s’installe et progresse, mais ceux qui nous la vendent ne prennent pas les précautions nécessaires pour contrecarrer la vulnérabilité de leurs voitures connectées.

Pourtant, les faits sont là : sur 90.000 véhicules volés en 2014, la majorité ont fait l’objet de « mouse jacking », piratage à distance qui permet de pénétrer les systèmes de sécurité d’un véhicule et de le voler sans effraction physique.  La revue détaille le processus : les voleurs commandent des clefs chez les concessionnaires grâce au numéro de série du véhicule et se procurent des boitiers appelés « Key Programmer Device », en vente libre sur internet. Il suffit de se connecter sur la prise diagnostic du véhicule, dite prise OBD (On Board Diagnostic), pour reprogrammer la clef et démarrer le véhicule.

Cette prise OBD a changé la vie d’un mécanicien qui joue à présent plus de la tablette portable que de la clé de 12. Mais le dispositif est aussi une porte d’entrée potentielle pour les pirates. Les gendarmes ont d’ailleurs repéré une dizaine de possibilités d’attaque du véhicule connecté. En additionnant les prises OBD et USB et les connexions Bluetooth on peut même parler de véritables passoires numériques. Rappelez-vous le cas du Jeep Cherokee commandée à distance à l’insu de son conducteur d’un coup d’un seul impuissant et vulnérable.

Alors les gendarmes ont réfléchi à la question. L’OCSTI a classé les menaces potentielles en deux grandes catégories : les risques liés à la sécurité et ceux liés au respect de la vie privée. Parmi les risques liés à la sécurité figurent les attaques de type « ransomware » (blocage du véhicule jusqu’à l’obtention d’une rançon), ou le piratage d’une valise diagnostic de garagiste. Puis il y a les risques liés au respect de la vie privée concernent les vols de données personnelles, les écoutes téléphonique (kit main-libre, e-call), ou la surveillance vidéo via l’installation d’une caméra frontale nécessaire au freinage d’urgence, ou d’une caméra conducteur de surveillance de la vigilance.

La réflexion n’est pas tout. Il y a aussi les actes. Ainsi, la tablette « GenDiag » a été mise au point. Elle permet de repérer les trafiquants de voitures. Similaire aux valises informatiques des garagistes, elle interroge les calculateurs embarqués et retrouve le numéro de série de la voiture. S’il n’est pas identique à celui gravé sur le châssis, c’est une preuve que le véhicule a été volé et maquillé. Ce diagnostic s’effectue en cinq minutes. Il est testé dans plusieurs unités depuis un an. L‘enjeu est réel. Selon l’Observatoire, il y aura 78 millions de véhicules connectés dans le monde en 2018.