1,4 million de Jeep Cherokee rappelées ! Le constructeur automobile italo-américain Fiat Chrysler (FCA) en mauvaise posture suite au hacking par deux chercheurs en informatique avec un simple smartphone…
Donner des coups de freins, éteindre le moteur, allumer la clim… L’affaire a fait grand bruit. C’était le 21 juillet. La vidéo des deux chercheurs en informatique et hackers à leurs heures perdues, Charlie Miller et Chris Valasek, a fait le tour de la planète automobile. Pour prendre le contrôle de la voiture, les deux jeunes gens se sont infiltré dans Uconnect, l’ordinateur connecté à Internet qui équipe ces véhicules pour proposer des services de navigation, de divertissement, d’appels et même de point d’accès Wi-Fi.
Tout en ne niant pas la réalité des faits, le constructeur soulignait alors que «Miller et Valasek ont travaillé pendant un an pour intentionnellement pirater la voiture appartenant à Miller dans le cadre de leur projet de recherche sur la cybersécurité dans le domaine automobile et ont approché FCA concernant certains aspects de leurs travaux».
N’empêche : les deux hackers ont réussi ! Et si FCA indique avoir réalisé une mise à jour pour le logiciel concerné équipant certains de ses modèles 2013, 2014 et 2015 et que celle-ci était disponible pour téléchargement à partir d’une clé USB, il a décidé de rappeler 1,4 million de véhicules !
C’est le premier hacking significatif. Quand, lors du DEFCON 2014, les experts de sécurité du collectif «I am the Calvalry» publiaient une lettre ouverte aux patrons des principaux constructeurs automobiles les alertant du manque de sécurité de leurs véhicules, rien ne s’est passé. Tous les constructeurs ont continué à affirmer que leurs voitures sont sûres, qu’un piratage est impossible…
«Cet incident, hélàs, ne restera pas isolé !»
Neil Campbell, les commentaires directeur général du groupe, Sécurité de Dimension Data: «Ce hack indique deux choses. Tout d’abord, l’internet des objets crée beaucoup plus de possibilités pour les pirates d’envahir notre vie privée quitte à mettre des vies humaines en danger. Ensuite, de nombreuses industries bien établies qui ont pas encore eu à traiter la sécurité comme une menace sérieuse; elles n’y sont pas préparées, n’ayant pas investi dans les dans les technologies de la sécurité, les services et les processus», estime Neil Campbell, Security Group General Manager, Dimension Data.
Si cette affaire fait grand bruit, d’autres suivront, estime Neil Campbell. A l’entendre, l’IoT introduit de nouveaux risques que la plupart des industriels ne cernent pas. Ils s’exposent sans réellement savoir… et seuls alors qu’ils devraient coopérer étroitement avec les organismes de l’industrie et la sécurité informatique.
«Aujourd’hui, nous voyons que les utilisateurs finaux deviennent les premières cibles dès qu’il s’agit de cybercriminalité populaire. C’est vrai dans l’entreprise, mais aussi dans des domaines plus personnels, et cela parce que nous sommes habitués à accéder en temps réel à toujours plus de données. Le danger est partout. Il suffit de prendre le contrôle de notre identité !»
Et Neil Campbell de conseiller aux industriels de surveiller en permanence leur infrastructure informatique et d’établir une vraie relation avec l’industrie de la sécurité informatique -non seulement pour les menaces, mais aussi pour déployer de nouvelles approches de la gestion des menaces. Et ne jamais perdre de vue que le quidam est tout à la fois le maillon le plus fort et le plus faible dès qu’il s’agit de sécurité informatique.
