Cybersécurité : les constructeurs progressent peu, et les voleurs progressent beaucoup

Ils se retrouvent souvent entre confrères. C’était le cas à Lille il y a quelques jours encore, et ce sera à nouveau le cas à Paris au mois de septembre. Ces ingénieurs, tous spécialisés dans la cybersécurité, échangent régulièrement au sujet de leurs dernières trouvailles et des derniers incidents dont sont victimes leurs entreprises clientes, et surtout celles qui ne le sont pas et qui pourraient éviter d’être hackés s’ils le devenaient.

Un problème dont les forces de l'ordre sont également conscientes. « Des milliers de voitures sont hackées et volées chaque année. Et le chiffre est constamment en hausse » a ainsi expliqué, lors du colloque, le colonel de gendarmerie Nicolas Duvinage qui dirige le centre de lutte contra la criminalité numérique. Une augmentation des vols liée, selon lui, à la simplicité de l’opération. A condition tout de même d’être féru d’informatique, et de vouloir dérober une voiture disposant d’une clé d’accès main libre. Si tel est le cas, il suffit, grâce à une antenne dont les pièces et le logiciel sont disponibles sur le web, de se poster à proximité de la maison ou les clés de la voiture convoitée sont déposées. Une fois le codage de la clé enregistré, un émetteur permet d’accéder, de démarrer, et de voler l’auto sans le moindre souci.

Ce problème, les gendarmes mais aussi toutes les entreprises spécialisées dans la cybersécurité, l’ont fait connaître aux constructeurs. Certains sont à leur écoute, d’autres pas du tout. Et les premiers sont beaucoup moins nombreux que les seconds. Pour le vérifier, l’ADAC, l’Automobile Club allemand a réalisé des tests ce printemps. 501 modèles sont passés entre les mains, et les antennes, expertes de faux voleurs et vrais hackers. Résultat : ils ont réussi à ouvrir, et à démarrer, 95 % d’entre eux. Le moins que l’on puisse dire c’est que le colonel et ses confrères du privé sont loin d’être entendu par le monde de l’automobile.

Ces experts souhaitent d’ailleurs qu’un cyber crash test numérique soit inclus dans l’homologation des voitures, au même titre que ceux qui touchent à la sécurité passive. Un test qui verrait les autos qui ne remplissent pas certaines obligations en matière de cybersécurité se voir interdire d’homologation, et donc de vente.  C’est un doux euphémisme que de dire qu’ils n’ont pas l’oreille des marques, pas vraiment enclines à dépenser plus pour lutter contre le vol des voitures, dont les conséquences sont laissées au bon soin des assureurs, et non des leurs. De la même manière, ils pourraient aisément "neutraliser" une voiture grâce à un système similaire à celui qu’Apple installe sur ses Iphone. Baptisée Kill Switch, cette puce électronique empêche le téléphone de fonctionner dès qu’il perçoit un fonctionnement anormal. Reste évidemment, à déterminer le degré de « fonctionnement anormal » d’une auto.

Des options et des mises à jour online faciles à hacker

En revanche si les constructeurs sont peu réceptifs en matière de vol de leurs voitures, ils le sont beaucoup plus lorsque leur chiffre d’affaires est affecté par le hacking. C’est le cas de Tesla. L’Américain agrémente ses autos d’options payantes qui, moyennant finance, peuvent être activées on line. Or, des pirates vendent sur le web des codes d’accès permettant de débloquer ces options. Le prix de ces codes craqués est évidemment beaucoup moins élevé que celui du constructeur. Un manque à gagner qui a bien sûr incité l’entreprise d’Elon Musk à mettre en place de puissants pare-feu. La plupart de ses concurrents envisagent eux aussi à terme de proposer de telles options payantes et ils observent de près la manière dont Tesla se protège de ces vols. L’intérêt qu’ils y portent est inversement proportionnel à celui qu’ils attachent au vol de leurs voitures.