Les véhicules connectés ne sont pas à l’abri du piratage, disent des experts

TORONTO — Les véhicules connectés, équipés de puces électroniques et de logiciels sophistiqués, ne sont pas à l’abri du piratage, préviennent des experts.

Ces véhicules peuvent être vulnérables aux attaques informatiques visant à voler des données personnelles ou même manipuler les systèmes, comme la direction ou les freins, croit Robert Falzon, chef-ingénieur de la firme de cybersécurité Checkpoint Canada.

«Les autos savent à la vitesse que l’on roule, savent où on va, savent notre altitude. Et toutes ces données différentes sont calculées. Et tout ça est informatisé, dit-il. Malheureusement, quand ces options ont été conçues, la sécurité n’était pas toujours la priorité.»

Selon un rapport de la firme Upstream, le nombre des attaques à distance à l’aide du Wi-Fi, de Bluetooth et autres réseaux, dépasse de beaucoup les attaques physiques. En 2022, 97 pour cent des attaques contre un automobiliste étaient réalisées à distance en 2022.

L’inquiétude des experts grandit à ce sujet

«Imaginons qu’une personne conduise sur l’autoroute et soudainement, les portes se verrouillent, le véhicule accélère et le conducteur reçoive un message réclamant des bitcoins sinon il y aura un accident, raconte  AJ Khan, fondateur de Vehiqilla. Ce scénario est actuellement possible.»

M. Khan signale que tout véhicule connecté à l’internet, qu’il roule à l’essence ou qu’il soit électrique, court un risque d’être piraté.

Des chercheurs de l’Université Concordia avaient découvert des failles importantes dans une étude réalisée en 2022 sur les bornes de rechange pour véhicule électrique, lesquels sont connectés à internet. Selon l’étude, ces failles peuvent affecter les bornes, le réseau électrique et les utilisateurs.

«S’il existe autant de vulnérabilités, c’est parce que les vendeurs et les gestionnaires se dépêchent à déployer l’infrastructure pour répondre à la demande», explique Chadi Assi, professeur de l’Institut d’ingénierie des systèmes d’information de l’Université Concordia.

«Résultat: la cybersécurité n’est qu’une arrière-pensée. Elle n’est pas un élément de la conception de l’infrastructure», ajoute-t-il.

Les bornes de recharge sont facilement accessibles par une application mobile, mais souvent celle-ci ont d’importantes failles de sécurité, a constaté l’équipe de recherches de Concordia.

Si la sécurité d’une borne rechargeable est compromise, les informations privées d’un client, comme, l’endroit où le véhicule est situé, peuvent faire l’objet d’une fuite, mentionne le Pr Assi. Les pirates peuvent aussi perturber l’opération de rechargement et endommager une batterie, la pièce la plus dispendieuse d’un véhicule privé.

Selon le rapport d’Upstream, les attaques informatiques contre une borne rechargeable comptaient pour quatre pour cent de l’ensemble des cyberattaques liées aux véhicules électriques en 2022.

«Un autre aspect crucial de la cybersécurité dans l’ensemble de cet écosystème concerne l’ensemble du réseau électrique», dit le Pr Assi.

Si un pirate peut synchroniser une attaque contre plusieurs bornes rechargeables, en les allumant et en les éteignant, il peut déstabiliser le réseau électrique, met en garde l’universitaire.

Ces failles ont été portées à l’attention des fabricants, ajoute-t-il.

Des lignes directrices nationales ont été mises en place en août 2021 par Transports Canada pour aider les fabricants automobiles à s’occuper des dangers posés par les pirates informatiques.

Les fabricants tentent de renforcer la cybersécurité de leur véhicule, dit M. Khan.

Ce jeu du chat et de la souris peut tourner à l’avantage des pirates lorsque ceux-ci réussissent à trouver un point faible leur permettant d’accéder aux véhicules connectés.

«La cybersécurité automobile est un domaine très nouveau», souligne M. Khan. Selon lui, le danger persistera puisque chaque nouveau logiciel peut entraîner une vulnérabilité.

Les consommateurs devront être sensibilisés à ce danger.

Ils pourront demander à leur concessionnaire des informations sur les logiciels du véhicule et de la protection contre une application d’un tiers.

«Quand on achète un véhicule, on s’informe des éléments de sécurité comme les ceintures et les sacs gonflables. On peut aussi se renseigner sur la cybersécurité, qui est fondamentalement une question de santé et de sûreté», souligne M. Khan.

Autre conseil: éviter de se connecter à un réseau Wi-Fi public et de laisser ses clés proches d’une portière avant, car les voleurs peuvent utiliser des appareils permettant de capter les signaux radio d’un porte-clés et ainsi étendre leur portée.