Mardi dernier, Andy Greenberg, journaliste pour le magazine Wired, publiait son retour d'expérience particulièrement effrayant sur le piratage à distance d'une Jeep du constructeur Chrysler.


Charlie Miller et Christopher Valasek, deux chercheurs en sécurité informatique, ont en effet réussi à prendre le contrôle du véhicule à distance alors que le journaliste, complice bien entendu, était lancé à une vitesse de 110 km/h. sur une route nationale. Greenberg décrit la séquence des événements: l'activation soudaine de la climatisation du véhicule à son niveau le plus élevé, aussitôt suivie par l'allumage de la radio à son volume maximal. Les essuie-glaces ont ensuite entamé une chorégraphie agitée sur la surface du pare-brise, accompagnés de jets de liquide essuie-glace. Sur l'écran de contrôle du véhicule apparaît une photo des deux chercheurs, arborant un costume de super-héros.

Greenberg ne sourit plus. Bien qu'averti de l'intrusion, il panique: son véhicule est toujours lancé à haute vitesse lorsque ce dernier s'éteint soudainement, les accélérateurs et les freins, bien entendu, ne répondent plus. Heureusement, les pirates avaient prévu le coup en suivant le transpondeur GPS du véhicule: ils savaient qu'il amorçait une montée. S'ensuivent deux minutes de klaxonnements et d'insultes: des véhicules s'amassent derrière la Jeep de Greenberg, de plus en plus lente. Il finira par libérer la voie en tournant le volant, laissant le véhicule finir sa route contre une butte.

L'attaque n'a pas nécessité d'accès physique au véhicule: elle a été lancée depuis un ordinateur portable situé à 15 kilomètres du " crash site ". Les chercheurs n'ont pas eu besoin d'effectuer une quelconque installation préalable dans la voiture, ils ont utilisé la connexion UConnect, une option premium proposée par Chrysler aux acheteurs les plus exigeants désireux de conduire un véhicule " connecté. "

La correction de la vulnérabilité semble simple: quelques lignes de code source à modifier, on recompile le tout, quelques tests et...on déploie. C'est là que le bât blesse: en plus des failles de sécurité présentes dans UConnect, Chrysler n'a pas jugé nécessaire d'y intégrer un mécanisme de mise à jour centralisé et activable à distance.

Probablement désireux de s'enfoncer encore plus bas qu'il ne l'est déjà, le constructeur propose alors à ses clients de télécharger la mise à jour depuis son site web driveuconnect.com. Le visiteur doit saisir le code VIN de son véhicule dans un formulaire. Si une mise à jour est disponible pour son véhicule, il peut alors la rapatrier sur son ordinateur et la copier sur une clé USB. Vous l'aurez deviné: il y a un port USB dans la Jeep et ce dernier peut être utilisé pour mettre à jour les codes du véhicule. Quand on pense à toutes les entreprises qui n'arrivent toujours pas à mettre à jour Internet Explorer l'indésirable, Flash le vulnérable ou Java le cheval de Troie sur les ordinateurs de leurs collaborateurs, qui va donc s'amuser à mettre à jour les véhicules en circulation?

Heureusement, la situation est déjà tellement grave pour la sûreté des usagers de la route que Chrysler ne juge pas nécessaire de suivre les dix recommandations fondamentales de sécurité lorsque l'on exploite des services web. L'une d'entre elles? Protéger la communication entre ses clients et ses serveurs. L'envoi du VIN du véhicule s'effectue en clair, à la merci de toute interception de trafic. Bravo Chrysler.


Quelles solutions pour de tels problèmes?
Dans un écosystème sain, des constructeurs tels que Chrysler seraient immédiatement sanctionnés par les consommateurs: la rupture de confiance entraînerait la cessation de toute consommation des produits ou services de la marque jusqu'à ce que la confiance soit rétablie, au moyen de garanties satisfaisantes. Il n'en sera rien, les consommateurs continueront d'acheter leurs produits.

La solution, ceux qui me lisent régulièrement me voient déjà venir, réside dans les assureurs.

Nous vivons dans un écosystème composé, d'un côté, de politiques, donc de régulateurs, à la merci des corporations et de leurs actionnaires ; et de l'autre côté, de citoyens, eux-mêmes en opposition intellectuelle avec ces politiques, mais intellectuelle uniquement. Agir n'est pas au programme. Des intérêts divergents donc, d'une part, et de l'inaction maladive, d'autre part.

L'assureur occupe une place centrale dans cet écosystème car il met à disposition de l'assuré une sécurité financière contre les aléas de la vie, ou de la production, en échange de garanties qui lui permettent à la fois de déterminer avec une certaine précision le risque réellement encouru et d'en maîtriser le coût. La configuration actuelle permet toutefois aux corporations de produire et de mettre en vente des systèmes informatiques vulnérables et dangereux pour l'Homme et ses intérêts (sûreté, protection de la sphère privée et contre les abus commerciaux), tout en bénéficiant des protections financières et juridiques nécessaires à la pérennité des revenus aux actionnaires.

L'assureur est le seul acteur en mesure d'exiger la fourniture de garanties par l'assuré en contrepartie d'une sécurité financière. L'assureur peut exiger la production de systèmes non pas " invulnérables " mais conçus dans une optique de moindre vulnérabilité.

Cette évolution n'est pas nouvelle, l'humanité en bénéficie déjà partiellement dans la mesure où deux grands domaines d'activité sont aujourd'hui ainsi régulés dans le but de protéger l'être humain: le transport de marchandises ou de personnes et la vente de produits ou services déclenchant une pénétration physique du corps humain (alimentation, médicaments, médecine, cosmétiques, etc.). Cette évolution doit continuer en incorporant un troisième domaine: les systèmes d'information.

Bien entendu, je suis tout à fait conscient que mes attentes sont disproportionnées par rapport à mon époque: il n'y a pas encore eu assez de morts. Pas d'hypocrisie: si le transport et la pénétration dans le corps humain sont des activités régulées, c'est parce qu'elles ont tué. Trop tué.

C'est donc dans un esprit empli de cynisme et de sarcasme que je conclurai ce billet d'opinion: vivement le cyberterrorisme, non pas celui dont nous parlent la presse sensationnaliste et les politiques ces derniers années, mais le vrai cyberterrorisme: celui qui tue, celui qui endeuille, celui qui fait bouger les assureurs. D'ici-là, bravo Chrysler! Bravo les politiques pour leur mépris constant des recommandations de la communauté! Bravo les citoyens qui persistent dans des choix politiques allant à l'encontre de leur sûreté!

Wired.com - Hackers remotely kill a Jeep on the highway, with me in it
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/