Discussion :

[Olivier Famien]

Des chercheurs parviennent à pirater un véhicule Jeep en prenant son contrôle à distance
Fiat Chrysler rappelle 1,4 million de véhicules affectés

Le groupe Fiat Chrysler Automobiles (FCA) vient de rappeler 1,4 million de véhicules dans ses usines conséquemment à un test de piratage réussi sur un véhicule Jeep effectué par deux chercheurs.

Pour parvenir à leurs fins, ces chercheurs au nom de Charlie Miller et Chris Valasek ont longuement étudié le système embarqué dans le véhicule Jeep Cherokee appelé Uconnect et offrant des fonctionnalités telles la navigation interactive, les options multimédias…

Après avoir détecté des failles exploitables à partir de ce système, les deux chercheurs ont effectué une démonstration avec un journaliste du magazine Wired conduisant un véhicule Jeep.

Une fois connectés au système Uconnect du véhicule via internet, les chercheurs sont parvenus par exemple à déclencher le système d’aération du véhicule, à mettre en marche la radio et augmenter le volume, à activer les essuies glace, le tout pendant que le journaliste du Wired Andy Greenberg était au volant du véhicule.

Comme si cela n’était pas suffisant, Miller et Valasek ont poussé leur test à fond en mettant le véhicule à l’arrêt alors que celui-ci était conduit par Andy. Cela semble vraiment effrayant de savoir qu’une telle faille existe et pourrait être exploitée par des hackers à des fins malveillantes.

Aussi, pour parer à toute éventualité, FCA a d’abord sorti un patch le 16 juillet en affirmant qu’étant « semblable à un smartphone ou une tablette, le logiciel du véhicule peut nécessiter des mises à jour pour améliorer la protection de la sécurité pour réduire le risque potentiel de l’accès non autorisé et illégal à des systèmes de véhicules. La mise à jour de logiciels de sécurité d’aujourd’hui, fournie sans coûts supplémentaires aux clients, inclut également des améliorations de Uconnect introduit dans les modèles conçus en 2015 pour améliorer la commodité du client et la jouissance de leur véhicule ».

Cette mise à jour est fournie par FCA sur une clé USB aux propriétaires des véhicules touchés par ce problème. À défaut, les propriétaires peuvent directement télécharger et installer la mise à jour à partir d’internet ou demander l’expertise de leur concessionnaire pour le faire.

En outre, pour s’entourer de toutes les précautions nécessaires et ne pas laisser de place à certaines éventualités non désirées, FCA a lancé vendredi dernier, le rappel de 1,4 million de véhicules de différents modèles affectés par cette faille. Les véhicules concernés par ce rappel sont les suivants :

• Les véhicules Dodge Viper 2013-2015
• Les pickups 2013-2015 Ram 1500, 2500 et 3500
• 2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
• Les SUV Cherokee et Jeep Grand Cherokee 2014-2015
• Les SUV Dodge Durango 2014-2015
• Les véhicules Chrysler 200, Chrysler 300 et Dodge Charger Sedan 2015
• Les véhicules Dodge Challenger sports coupes 2015

En marge de ce rappel, FCA a également procédé par mesure de prudence au blocage de l’accès distant pour les systèmes de certains véhicules le 23 juillet 2015.

Enfin, la compagnie souligne qu’elle « n’a pas connaissance de blessures liées à l’exploitation du logiciel, ni connaissance de plaintes connexes, réclamations de garantie ou d’accidents — hormis de la démonstration des médias ».

Malgré les mesures de précautions et le fait qu’aucune personne n’ait été blessée, cette situation vient à nouveau rappeler combien de fois les objets connectés peuvent être vulnérables. Appliquée aux véhicules, cette vulnérabilité prend une autre tournure en touchant à la vie physique des utilisateurs.

Source : Wire, FCA

Et vous ?

Que pensez-vous de ce piratage ?

Va-t-il vous faire prendre du recul vis-à-vis de ce type de véhicules ?

[MikeRowSoft]

Des failles dans le code binaire? Pourtant sa fonction a "base de goto".

[Alvaten]

Que pensez-vous de ce piratage ?

J'ai déjà lu un article ou un médecin à déjà prévenu des risques de meurtre avec des "prothèses connectés". Va-t-on aussi pouvoir tuer une personne en envoyant sa voiture dans le fossé ? Bienvenue dans le monde des l'assassinat 2.0

Va-t-il vous faire prendre du recul vis-à-vis de ce type de véhicules ?

J'ai déjà pas très confiance. Au delà du coté piratage qui va surtout intéressé la CIA, c'est surtout le bug qui inquiète. La voiture de mon père à déjà refusé de démarrer due à une "panne centrale".
A l’arrêt c'est pas dangereux mais gênant, j'ai pas trop envie que ça m'arrive à 120 sur l'autoroute ou dans une épingle de montagne.

[raphchar]

Quel intérêt d'installer de tels systèmes dans les voitures ? Pourquoi ne pas cloisonner les parties vitales de la voiture (comme les freins), de la partie qui peut communiquer à distance (radio, gps) ?
Parce que ça coûte trop cher ? Ça aurait au moins le mérite d'être sûr. Mais dans ce monde, la sécurité est un peu délaissée vis à vis du profit (ou plutôt, on s'occupe de la sécurité quand le mal est fait).

[Jon Shannow]

Je croyais que les systèmes embarqués étaient sous Linux, et que Linux n'avait pas de failles, pas de virus... Nous aurait-on menti ?

[Sodium]

Les objets connectés sont le futur problème majeur de notre société.
Je vote pour commencer immédiatement la construction d'un immense doigt d'honneur avec gravé à ses pieds un monumental "I told you so" pour la prochaine génération.

[Jipété]

En outre, pour de s’entourer de toutes les précautions nécessaires

En français, stp. Au choix :
- En outre, pour s’entourer de
- En outre, afin de s’entourer de

Source : Wire, FCA

Liens moisis (en fait, pas de liens du tout... )

[DevTroglodyte]

Quel intérêt d'installer de tels systèmes dans les voitures ? Pourquoi ne pas cloisonner les parties vitales de la voiture (comme les freins), de la partie qui peut communiquer à distance (radio, gps) ?
Parce que ça coûte trop cher ? Ça aurait au moins le mérite d'être sûr. Mais dans ce monde, la sécurité est un peu délaissée vis à vis du profit (ou plutôt, on s'occupe de la sécurité quand le mal est fait).

Actuellement les freins aussi peuvent être pilotés par l'ordinateur de bord (cf les "freins a main électriques automatiques" qui s'activent quand le véhicule est à l'arrêt). Ça ne concerne pas toutes les gammes mais ça commence à se répandre. Et visiblement, dans le cas présenté, les instructions montant depuis le bluetooth / la radio ne sont pas bloquées, et ça donne accès à toute la voiture. Même les freins.

Je croyais que les systèmes embarqués étaient sous Linux, et que Linux n'avait pas de failles, pas de virus...

Linux a la sécurité qu'on lui donne... Si on la dégage pour faire de la place en mémoire / pas se casser la tête, ben les failles seront suffisamment grosses pour faire passer un cheval. De Troie, le cheval.

[Zirak]

Je croyais que les systèmes embarqués étaient sous Linux, et que Linux n'avait pas de failles, pas de virus... Nous aurait-on menti ?

De ce que j'en lis là, la faille était plutôt dans leur système Uconnect que dans Linux mais bon, c'est comme dire que si il y a une faille dans Photoshop, c'est la faute de Microsoft...

Enfin quand on a envie de troller...

[hotcryx]

L'année passée, lors de la mort de Paul Walker (l'acteur de Fast and Furious), un journaliste parlait déjà de piratage de voiture à distance, dans le magazine Forbes il me semble.

Pourquoi en parle t'on ouvertement seulement maintenant?!

[MikeRowSoft]

Je viens de remarquer qu'une fois corrigé même les C.O.P. ne pourront l'exploiter
La fin des courses poursuites?