La pression monte sur les constructeurs automobiles. Il y a un peu plus d’une semaine, BMW s’est fait épinglé par l’association des automobilistes allemands ADAC, qui a trouvé une jolie faille dans sa plateforme « ConnectedDrive » qui permet notamment d’accéder à distance à certaines fonctions du véhicule. Le sénateur américain Ed Markey vient maintenant porter une nouvelle charge contre les voitures connectées. Après avoir interrogé 16 grands constructeurs, il arrive à la conclusion que les systèmes informatiques embarqués « restent largement non protégés » et que les marques automobiles « n’ont pas fait leur travail » pour le protéger. « Il y a un manque clair de mesures de sécurité appropriées pour protéger les conducteurs contre les pirates qui pourraient prendre le contrôle d’un véhicule ou contre ceux qui désirent collecter et utiliser des données personnelles du conducteur », souligne le rapport.
Pas assez d’efforts fournis
Ainsi, le sénateur constate que presque toutes les nouvelles voitures embarquent désormais des technologies de communication sans fil et que les constructeurs collectent de vastes quantités de données sur les conducteurs et les stockent dans des datacenters, voire les transmettent à des tiers. Mais d’un autre côté, il remarque aussi que l’aspect sécurité est plus ou moins absent dans toute cette innovation. Ainsi, il n’y a que sept constructeurs sur les seize qui prennent la peine de vérifier la sécurité de leurs systèmes par des cabinets indépendants. Aucun des constructeurs n’est réellement capable de détecter en temps réel des attaques informatiques sur les véhicules et seuls deux peuvent réagir concrètement face à une telle alerte. Par exemple en bridant certaines fonctionnalités à distance. Par ailleurs, le sénateur fustige le manque de clarté au niveau de la gestion des données personnelles : les conducteurs ne savent pas vraiment quelles données sont stockées et pendant combien de temps, ni comment désactiver cette collecte de données.
Les efforts des constructeurs pour améliorer la sécurité informatique semblent donc très faibles vis-à-vis des possibilités offertes par les voitures connectées au niveau piratage. Les pirates peuvent accéder au véhicule par l’intermédiaire de connexions sans fil en Bluetooth, du système d’assistance à distance OnStar, d’un virus sur un smartphone Android (Google) connecté au véhicule ou même d’un CD infecté lu par le système audio de la voiture, détaille le rapport. Il cite aussi des études réalisées auparavant montrant comment les pirates peuvent prendre le contrôle de certains véhicules populaires, et les faire brutalement accélérer ou tourner, klaxonner, désactiver leurs freins, allumer ou éteindre les phares, modifier l’affichage du compteur de vitesse…
Les constructeurs s’engagent
Deux alliances de constructeurs ont adopté récemment des codes de bonne conduite mais le rapport juge leur interprétation pas assez claire. « Des protections solides des données privées des consommateurs et une sécurité solide des voitures sont nécessaires pour maintenir la confiance de nos clients », a indiqué à l’AFP l’Alliance des constructeurs automobiles, basée aux Etats-Unis. Les constructeurs « se sont engagés à fournir des protections accrues pour les types d’informations les plus sensibles », allant « au-delà des principes similaires dans d’autres secteurs », a-t-elle assuré.
Le rapport est basé sur des données collectées auprès de BMW, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen and Volvo.
Lire aussi :
Black Hat 2014 : un pirate peut-il prendre le contrôle à distance d’une voiture?, le 07/08/2014
Source :
Le rapport d’Ed Markey
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.