TOP SÉLECTION
Les voleurs de basse technologie peuvent toujours pirater les porte-clés de voiture avec du matériel-logiciel facile à obtenir et des politiques mal développées pour les protocoles de diagnostic embarqués.
Il n'y a pas si longtemps, alors qu'il assistait à une conférence technique à San Francisco, la BMW haut de gamme de mon collègue a été cambriolée par un cyberattaquant. Il n'y a eu aucun dommage à la voiture mais nos deux ordinateurs portables (sécurisés dans le coffre) ont été volés. À partir de ce moment, les problèmes de sécurité sans fil automobile sont devenus une véritable préoccupation pour moi.
Comment le cambriolage s'est-il produit? Avec une grande facilité, selon plusieurs reportages récents. En utilisant un outil à 30 $ développé par des pirates informatiques pour «pwn» les systèmes de sécurité embarqués, les criminels non qualifiés peuvent facilement ouvrir et voler des voitures haut de gamme. «Pwn» est un argot Internet pour «posséder» comme pour conquérir ou voler pour en acquérir la propriété. Avec l'outil à 30 $ de la Chine, les criminels sont en mesure de reprogrammer une clé de voiture vierge qui permet à ces voleurs non techniciens de voler un véhicule en deux ou trois minutes. Et ce n’est pas seulement une technologie douteuse en Chine. Une recherche approfondie sur Internet révèle un certain kit de développement de chiffrement offert par une société américaine de premier plan. On espère que son utilisation principale est de développer des moyens de se défendre contre les hacks en cours.
Une partie du problème réside dans les outils de contournement des diagnostics embarqués automobiles (OBD) disponibles par expédition depuis la Chine et l'Europe de l'Est. Les voleurs potentiels de voitures n'ont qu'à intercepter la transmission sans fil entre un porte-clés valide et une voiture avant de reprogrammer une clé vierge. Avec la nouvelle clé / télécommande en main, les criminels peuvent alors soit ouvrir la voiture, soit la démarrer, via le système OBD et les protocoles.
Des renifleurs RF et sans fil et des produits de brouillage sont facilement disponibles sur Internet. Les descriptions de produits sur ces sites Web sont généralement si mal rédigées qu'elles confirment l'origine étrangère de la plupart des fournisseurs. BTW: Le brouillage intentionnel des signaux RF est illégal aux États-Unis.
Des brouilleurs RF existent pour chaque type de protocole sans fil, du GPS, Wi-Fi et Bluetooth aux téléphones mobiles. Pourquoi brouiller les signaux depuis votre voiture? L’une des raisons serait de masquer les données de suivi GPS envoyées sur l’emplacement du trajet de votre voiture. Les transmissions de téléphones portables peuvent également être bloquées. En outre, de tels brouilleurs pourraient être utilisés contre des véhicules à proximité en fonction de leur proximité, de la puissance de l’émetteur du brouilleur et de l’architecture du récepteur cible (c’est-à-dire, le véhicule étant bloqué).
Le but du brouillage est d'interférer avec ou d'empêcher la réception claire des signaux RF par des moyens électroniques. En général, un brouilleur est conçu spécifiquement pour une architecture de récepteur ciblée. Une fois que le type de brouilleur est connu, ses effets peuvent être atténués dans le récepteur.
La détection de la présence d'un brouilleur est essentielle pour atténuer le problème, car il est très difficile de bloquer le brouilleur. Les propriétaires de voitures techniquement avertis peuvent utiliser des analyseurs de spectre pour mesurer les changements d'énergie moyens dans le spectre de verrouillage de la télécommande. La détection d'un scénario de brouillage permet au propriétaire de la voiture de savoir qu'un danger est présent. La technologie est maintenant si prolifique qu’une recherche rapide sur Internet révèle des instructions sur la façon de pirater le porte-clés d’une voiture avec des détails surprenants. (Remarque: je ne mentionne délibérément aucun produit ou site spécifique.)
En ce qui concerne les défis politiques, il faut comprendre que les lecteurs OBD sont facilement disponibles à des fins légitimes pour les ateliers de réparation automobile et après-vente. L’un des problèmes est que les données OBD doivent être ouvertes à ces garages tiers pour satisfaire aux règles de la fédération européenne de libre-échange sur la concurrence ouverte dans le commerce automobile.
Cela signifie que la technologie et les politiques du travail du marché étranger bien intentionnées mais mal conçues permettent la cybercriminalité dans une économie mondiale. Il s'agit d'un problème systémique qui nécessitera une coopération étroite entre les sociétés de sécurité et de logiciels de haute technologie, les équipementiers et les décideurs politiques de divers gouvernements.
Néanmoins, davantage pourrait être fait pour améliorer la cryptographie souvent qualifiée de faible de nombreux systèmes de clés automobiles sans fil. Plusieurs normes ont émergé qui devraient aider. Par exemple, la Commission économique des Nations Unies pour l'Europe (CEE-ONU), en collaboration avec le responsable des normes ISO et d'autres, a fourni un document sur les principes de sécurité du système pour les systèmes de transport intelligents et les véhicules connectés et automatisés. Ce document fait référence aux normes et documents d'orientation applicables ISO / CEI JTC 1, ainsi qu'à deux normes SAE: SAE J3061, Guide de cybersécurité pour les systèmes de véhicules cyber-physiques et SAE J3101, Exigences pour la sécurité protégée par le matériel pour les applications de véhicules au sol, et quatre documents NIST.
Le problème s'étend désormais au-delà des vulnérabilités des systèmes de verrouillage de voiture sans fil et sans clé. Fin 2019, Motherboard a signalé qu'un pirate informatique connu uniquement sous le nom de L&M avait piraté plus de 27000 comptes de flotte de voitures commerciales via des signaux GPS. Le pirate informatique pourrait alors suivre les véhicules dans un petit nombre de pays étrangers, dont l'Inde et les Philippines, et arrêter les moteurs de véhicules qui étaient arrêtés ou qui roulaient à 20 km / h ou moins, a rapporté Motherboard.
Le problème d'une cybersécurité automobile insuffisante ne fera que s'aggraver avec le passage aux voitures autonomes et connectées.
