Au début, ils ont seulement piraté l’image du tableau de bord…
« Ce n’est pas drôle de se faire hacker votre SUV de 2 tonnes alors que vous êtes en train de la garer en face d’un fossé » entame Andy Greenberg, rédacteur chez Wired ,tandis qu’on le voit jeter dans le fossé sa Jeep Cherokee, absolument contre son gré. Aoutch. La « blague » vient de Charlie Miller, Ingénieur Sécurité chez Twitter et Chris Valasek, Directeur en charge de la recherche pour la sécurité des véhicules chez Ioactive, deux hackeurs qui ont développé un logiciel permettant de pirater à distance une Jeep Cherokee.
Grâce à leurs ordinateurs, sans ajout de composants sur la voiture, et positionnés à plusieurs kilomètres de distance, Charlie et Chris ont réussi à donner des sueurs froides à Andy. Avant de s’engager sur la route, les chercheurs ont simplement prévenu le conducteur qu’ils ne feraient rien qui puisse menacer sa vie. Mais ils en auront fait suffisamment pour le rendre paranoïaque au sujet des failles de sécurité des véhicules toute sa vie, très probablement.
« J’avais déjà conduit un véhicule qui s’était fait pirater en 2013, mais les hackeurs étaient derrière moi, sur le siège arrière. » ajoute Andy, qui a tout de même accepté la récidive pour cette nouvelle expérience. Cette fois, les chercheurs ne sont même pas avec lui. Et tandis qu’il roule sur l’autoroute de Saint-Louis (Missouri – Etats-Unis), apparaît soudain sur son tableau de bord une image des deux hackeurs en jogging et sweatshirt. Il est encore temps d’en rire à ce moment.
Piratage de l’accélérateur, des freins, des loquets de portières…
Très vite, Andy ne s’amuse plus. Les hackeurs lancent les hostilités : « Allez, vas-y, tue ce véhicule ! » s’encouragent-ils. Après avoir monté le volume de la radio à fond, crachant à plein tube du hip-hop dans les oreilles du journaliste, et mis l’air conditionné à plein régime, ils prennent le parti de pirater l’accélérateur de la Jeep. Peu à peu, Andy Greenberg se retrouve coincé sur l’autoroute, les voitures et camions le dépassent et klaxonnent. Lorsqu’il leur demande de l’aide, ils répondent : « Ça ne marchera pas tu es foutu ! Tu es obligé de t’arrêter et de redémarrer !«
Dernière blague avant la fin. Lorsqu’Andy arrive sain et sauf sur le parking, il perd le contrôle des commandes, et doucement mais sûrement, après avoir pris soin de fermer les loquets de portière à distance, les deux hackeurs conduisent le véhicule vers le fossé…ou il finit son chemin.
Des failles dues à Uconnect, l’ordinateur de bord des Chrysler
Si cette action a été possible, c’est non seulement grâce au savoir-faire des hackeurs, qui ont développé leur logiciel, mais également à cause des failles des Chrysler, qui fait de son mieux pour connecter ses voitures. L’ordinateur de bord appelé Uconnect embarque de nombreuses fonctionnalités dans les Fiat Chrysler, les SUV et les camions, qui permet de contrôler la navigation du véhicule et les accessoires à bord (déclencher des appels, obtenir du wifi…). Grâce à l’identification d’un élément vulnérable dans la connexion cellulaire, les deux hackeurs sont parvenus à obtenir l’adresse IP de la voiture pour y accéder de partout dans le pays.
Les deux hackeurs n’ont pas gardé leur découverte pour eux, ils ont mené des conférences et ont pu alerter Chrysler au sujet des failles de son tableau de bord et de son système embarqué, qui a depuis dû sortir un patch de sécurité. Selon Chris Valasek et Charlie Miller, ici, la blague a été suffisamment « soft » pour ne pas avoir de conséquences graves… mais elle a déjà démontré que les conséquences pouvaient être assez sérieuses pour alerter.
Depuis cet événement, Chrysler a été contraint de rappeler 1,4 million de véhicules ou en tout cas de fournir un correctif du logiciel à tous les propriétaires de ce modèle de Jeep Cherokee. Le constructeur automobile ayant été inquiété dans une affaire précédente et ayant tardé à rappeler près de 11 millions de véhicules risque une amende record de 105 millions de dollars.
Crédits Photos : Whitney Curtis – The Wired
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
Offre de Pret, Crédit Entre particuliers Financement, Projet... Faible Interet 3% Email: charliern4@gmail.com
on en vient malgré nous à un monde 100% connecté ou le libre arbitre de l'être humain n'aura plus sa place. on rejoint à coup sûr tous les scenarii imaginés par les pires romans de science fiction :(
ça ne laisse rien augurer de bon pour les voitures 100% autonomes..
Même de couper le moteur peut s’avérer dangereux. On peut s'en servir pour bloquer un fourgon blindé, un convoi présidentiel, ... Cela est d'ailleurs interdit en France (Les alarmes qui permettent de couper le moteur à distance sont interdite bien que répandu)
[…] Daimler se sent toutefois prêt. Il avait déjà obtenu une autorisation de circulation au Nevada, aux États-Unis, et avait testé un camion autonome Mercedes-Benz (dont il est propriétaire) en Allemagne, mais sur une tranche d’autoroute fermée à la circulation. Daimler est également propriétaire de Freightliner, le constructeur de poids lourds, qui a déjà lancé sur les voies américaines l’Inspiration, un camion semi-automatisé pour les longs trajets sur les highways américains. Le but de ce dispositif est de soulager les routiers, souvent épuisés par des heures de route, et également éviter les accidents mortels. Il faudra toutefois rester vigilant pour les constructeurs de véhicules autonomes quant aux possibilités de piratage, comme vu récemment avec la Jeep Cherokee de Chrysler. […]
[…] Daimler se sent toutefois prêt. Il avait déjà obtenu une autorisation de circulation au Nevada, aux États-Unis, et avait testé un camion autonome Mercedes-Bensz (dont il est propriétaire) en Allemagne, mais sur une tranche d’autoroute fermée à la circulation. Daimler est également propriétaire de Freightliner, le constructeur de poids lourds, qui a déjà lancé sur les voies américaines l’Inspiration, un camion semi-automatisé pour les longs trajets sur les highways américains. Le but de ce dispositif est de soulager les routiers, souvent épuisés par des heures de route, et également éviter les accidents mortels. Il faudra toutefois rester vigilant pour les constructeurs de véhicules autonomes quant aux possibilités de piratage, comme vu récemment avec la Jeep Cherokee de Chrysler. […]
Récupérer toutes les IP des voitures, send(ip[]).accelerate(100); Et hop des milliers d'accidents :) C'est effarant de connecter de tels éléments de sécurité à un moyen de communication.... Moyen de communiquer = faille.
Comme pour windows, pour shutdown le pc il faut faire "démarrer"
Non, c'est pas être parano, tu as parfaitement raison. Je confie à mon radio-réveil le fait de me réveiller et un hackeur pourrait par exemple rendre silencieux toutes les radio FM, et donc laisser dormir des millions de gens un lundi matin. J'accepte ce risque. Par contre j'accepte pas le risque qu'un hacker prenne le contrôle de ma bagnole. Donc je prends pas de voiture avec prise de contrôle à distance, aussi "secure" que me le dise le constructeur.
Si un hacker prends le contrôle de l'émetteur Fm sur lequel ta radio est connecté il sera parvenu à prendre le contrôle de ton radio réveil d'une certaine manière... Lorsque l'on vire à la paranoïa, on peut vraiment r des failles de sécurité absolument partout !
Effectivement tous les moyens de contrôle à distance, sauf peut- être "couper le moteur", devrait être physiquement et totalement coupé du réseau externe internet !
Et si tu ad's un iphone tu peux même dormir une heure de plus au changement d'heure :-)
Vu le nombre de morts et de blessés graves sur les routes chaque année dans le monde la voiture autonome est sans doute l'avenir
De la même manière que le risque 0 n'existe pas aujourd'hui avec les voitures traditionnelles. Qu'est-ce qu'on fait alors ? Faut-il continuer à utiliser des voitures ? Ha ben non, la marche à pied c'est plus sécurisé. Sauf que les piétons oublient que le risque 0 n'existe pas. Qu'est-ce qu'on fait alors ? Faut-il continuer à sortir de chez soi ? etc. Tu peux continuer loin comme ça avec ce genre de raisonnements...
Je crois que tu ne maitrises pas les termes que tu utilises. Un progressiste est quelqu'un qui prône le progrès social. Rien à avoir donc avec l'évolution technologique (enfin si on peux qualifier ça d'évolution).
Note qu'une voiture autonome n'est pas forcément connectée. Tu peux très bien partir du principe que tous les algos de conduite sont embarqués dans la voiture, avec des cartes stockées en hors ligne, mises à jour via clé USB par exemple. Ce serait moins risqué que les Chryslers d'aujourd'hui. Attention à ne pas faire d'amalgames.
Dans le cas des voitures autonomes, le GPS n'est là que pour déterminer l'itinéraire, mais il n'influe en rien sur la conduite en elle-même. Ce sont les capteurs à bord de la voiture, chargés de modéliser l'environnement proche, qui sont utiles.
Et après, les progressistes sont fier de nous annoncer que la voiture de demain sera toute connectée, pire même, sans chauffeur.................................... Mais les progressistes me diront que nous n'en sommes qu'au début. Les systèmes informatiques de ces voitures ont besoin d'être plus sécurisé. C'est grâce à ce type de démonstration que la voiture connectée et sans chauffeur sera sans risque. Les progressistes oublient que le risque 0 n'existe pas. Qu'est-ce qu'on fait alors ? Faut-il continuer à se diriger vers les voitures autonomes ?
Une voiture pilotable à distance ?? Je croyais qu'elle était autonome ?? Si il y a une entrée dans le système il y a forcément piratage potentiel Je ne comprends pas :-/ La seule entrée possible doivent être les informations GPS Et la si un pirate brouille ou détruit les satellites alors là...
Bientôt pourra-t-on twitter "dégage que je te double" et ça marchera?
sans doute jeep voulait te permettre de fermer tes portes a distance de garer ta voiture a distance.... bref quelle idée de génie... ils ont surement du embaucher des anciens Microsoft ;) bien entendu ca fait reference a ca : http://framasoft.net/article1886.html ps: le pire c'est que GM a eu raison..... les voitures s'arretent parfois sans raison on a un defaut qui s'allume mais peut etre 50 causes differentes et pour connaitre la bonne cause il faut passer par la case garage... pour eteindre ma voiture j'appuis bien sur le bouton start (start & stop) comme quoi dans leur connerie ils étaient de sacré visionaires ;)
Sauf si le hack est dans le smartphone et qu'il s’exécute de lui même avec certaines conditions (comme le mode avion sur ON)
bah si tu le met en mode avion c'est mieux pour ta tete et en plus no hack ^^
Je suppose qu'il y aura un rappel constructeur pour que les véhicules soit mis à jour par la concession si le proprio ne l'as pas encore fait. Pour le moment en tout cas je ne m'approche plus d'une Jeep avec ma voiture!!
Je suis pour une voiture autonome, une voiture qui roule à place ne me pose pas de problème. Par contre de pouvoir prendre le contrôle de la voiture à distance c'est bien trop dangereux. Quoi qu'il fasse ce sera toujours hackable donc je préfère simplement me passer de ces fonctions que de prendre un risque. A part le conducteur ou un ordinateur de bord sans moyen de communication sans fil, rien n'y personne ne devrait pouvoir contrôler la voiture!
Tout à fait, je suis surpris qu'en automobile, on applique pas les mêmes "règles de base" qu'en aéronautique !
[…] Deux chercheurs américains sont parvenus à pirater une voiture à distance. Le conducteur se retrouve piégé. …read more […]
Ce que ne précise pas l'article, c'est surtout que le véhicule a été prété aux chercheurs en vue de faire des tests d'intrusion
Comme ça la police passe derrière et verbalise toutes les voitures mal garées par le pompier, quota fait 600 € en pocher...
UberSteal...
C'est pour ça que personnellement, je me réveille avec mon smartphone ! Oh wait…
Aie aie aie, évites d'utiliser des termes que tu ne maîtrise pas du tout. Conseil d'ami, parce que pour le coup tu es ridicule.
Alors bien sûr, ça vaut ce que ça vaut, mais… https://twitter.com/rcmaniac25/status/624395255127928832
Et surtout j'espère que le firmware doit être signé par Chrysler, sous-entendu tu peux pas faire ton propre firmware !
C'est exactement ça que je veux dire. Si c'était le cas, il serait parfaitement hackable et un malin pourrait me faire râter le réveil du lundi matin (ouah la bonne excuse à donner à mon boss !)
Techniquement, c'est clairement faisable, et c'est d'ailleurs plus ou moins la manière dont ont procédé les hackers : ils ont flashé un nouveau firmware via une faille de sécurité. Seulement, ce n'est pas la procédure prévue par Chrysler. Si la faille a bien été corrigée aujourd'hui, le seul moyen de l'installer est via une clé USB.
Ils peuvent faire les mises à jour qu'ils veulent, si il existe un moyen technique de piloter la Jeep à distance, alors il existe un moyen de la hacker à distance. D'ailleurs le premier truc à faire, c'est de pirater les serveur de Jeep directement, comme ça tu prends la main de toutes les Jeep d'un coup.
Avec un peu de bol, ton radio-réveil se met à jour via des ondes radio… :-D
Vas-y, hacke mon radio réveil et on en reparle... Un système est vulnérable dès qu'il est connecté. Une connexion = une entrée possible. C'est la base de la sécurité. Selon Jeep, il faut connecter l'accélérateur à Internet. Je suis d'accord avec toi, il sera toujours vulnérable. Selon moi, ce n'est pas utile (quelle monstruosité !!!), et là oui, c'est faisable d'avoir un accélérateur sécurisé. Pour les algos qui marchent aussi à l'envers, t'inquiètes, les mathématiques aident à en faire à sens unique, cf les fonctions de hash par exemple.
VIVE LE TOUT CONNECTER §§§§ (ça fait flipper -_-)
Et pourtant, c'est dans cette direction que se lancent la plupart des constructeurs aujourd'hui…
Trop cool ça veut dire qu'on aura des plateformes d'echanges à la façon UberPop ! Les client posent leurs voitures n'importe où dans paris inscrivent leurs voiture sur la plateforme. Et un membre UberPop te gare ta voiture pendant que tu fais tes courses :)
Faut voir le bon côté des choses : un pompier un peu pressé pour éteindre un incendie peut faire se garer toutes les voitures sur son trajet. Les failles de sécurité, c'est bon, mangez-en !
Sont for ces riquains ;-)
Bah du coup tout le monde peu te garer la voiture à distance...
Je suis assez d'accord avec toi seulement il existe des option chez je ne sais plus quel constructeur permettant de démarré la voiture à distance. Alors serte ça ne fais pas parti des systèmes critiques comme tu les appels mais quand même ça veut dire qu'une attaque bien préparer peux faire démarré toutes les voitures ciblé au même moment et si le "hack" est lancer en loop, ça donnera des voitures que tu ne pourra plus éteindre tant que celle-ci sera connecté. C'est tout bête mais c'est faisable. Il faut savoir en plus que en informatique tout est algorithme et que les réciproques à ces algorithme existent..... Donc aucun systèmes n'est sécurisé
Si on peu, dans esprits criminels ils l'ont fait avec un Joystick :) *ironie*
Ce qui n'est pas précisé dans votre article, c'est que la mise à jour ne se fait pas automatiquement, mais sur une action de l'utilisateur, qui doit télécharger une archive sur le site du constructeur, l'extraire sur une clé USB, et démarrer sa voiture avec la clé USB branchée, attendre que le processus se déroule… Autant dire qu'il est peu probable que la majorité des propriétaires de Chryslers effectuent la mise à jour avant un "vrai" incident.
Le systèmes n'est pas isolé puisque le but est bien le contrôle à distance. Certaine voiture se gare de manière autonome commandé depuis votre smartphone. Et Jeep va plus loin puisqu'il est possible de commander sa voiture depuis son smartphone à la manière d'une voiture radiocommandé.
Venant du monde de l'aéronautique embarquée, j'ai du mal à croire que les systèmes critiques de la voiture (accélérateur, lock des portières) soit connectés d'une manière quelconque au système de "confort" (radio, modem GSM, écran...). Ce serait une énorme erreur de conception. La première chose à faire c'est d'isoler les systèmes. Vous pouvez hacker ce que vous voulez en regardant un film dans un avion, vous n'arriverez pas à le détourner.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix