News

La Ford Focus et la Volkswagen Polo n'ont pas résisté à nos (gentils) hackers

09 avril 2020
Nous avons piraté une Ford Focus et une Volkswagen Polo

Nous avons confié une Ford Focus et une Volkswagen Polo à une équipe de hackers techniques (et éthiques, bien entendu). Ils ont trouvé différentes failles qui peuvent être lourdes de conséquences pour votre vie privée et votre sécurité.

Les véhicules ressemblent de plus en plus à des ordinateurs. Et qui dit ordinateur, dit proie de choix pour les hackers.

L’été dernier, nous avons acheté une Ford Focus et une Volkswagen Polo que nous avons envoyées pour un test de sécurité complet à une entreprise londonienne spécialisée dans la cybersécurité. Cinq autres organisations de consommateurs ont pris part au test. 

Des problèmes de sécurité ont été constatés au niveau des deux véhicules. Des failles qui peuvent avoir une incidence majeure en cas d’utilisation mal intentionnée par des hackers.

Une équipe de sept hackers éthiques de Context Information Security, une entreprise spécialisée dans la cybersécurité, s’est, entre autres, intéressée de près aux applis mobiles, au système d’info-divertissement, aux clés des voiture et au bus de données CAN (bus système interne).

Faites entrer les hackers

Le talon d’Achille le plus critique a été détecté au niveau de l’unité d’info-divertissement de la Volkswagen Polo. Elle est, entre autres, reliée au contrôle de traction. Des hackers pourraient bien profiter de cette faille de sécurité pour trafiquer le contrôle de traction du véhicule. 

D'autres problèmes étaient liés aux clés de la voiture, un vieux souci bien connu que l'on aurait pu croire résolu depuis belle lurette par l’industrie automobile. Du côté de la Volkswagen Polo, les criminels peuvent pourtant encore et toujours accéder facilement au véhicule. La clé Ford a, elle, recours à une technologie un peu plus sûre. Nous avons néanmoins mis en lumière une faille qui permet à un hacker de bloquer le signal de démarrage du moteur. 

 

Sur la Volkswagen Polo, il s'est avéré possible d’intercepter le signal de déverrouillage de la clé de voiture, et de l’utiliser ensuite pour ouvrir la portière du véhicule.

 

Des failles ont également été trouvées au niveau des capteurs. Sur la Ford Focus, nous sommes parvenus à intercepter les messages entre les capteurs de pression des pneus et le tableau de bord. Le risque étant que des hackers puissent envoyer des messages trompeurs, comme indiquer que la pression des pneus est normale alors qu'il sont en réalité dégonflés. 

 
Au moyen d’un simple appareil, nous sommes parvenus à intercepter les messages entre les pneus et le tableau de bord de la Ford Focus.

Nous avons également décelé des négligences au niveau de la programmation sur chacune des voitures. Aussi anodin que cela puisse paraître, il n’en faut pas plus pour faciliter la tâche des hackers.

 

Votre vie privée aux orties ?

La sécurité n’est pas la seule mise en cause. Les voitures contemporaines génèrent de nombreuses données. Le respect de la vie privée devrait donc requérir toute l’attention nécessaire. Qu’advient-il de ces données ? A quoi sont-elles utilisées ? 

Lorsque vous téléchargez l’application Ford Focus, vous acceptez, par exemple, que Ford garde en mémoire la position de votre véhicule et vos destinations. Ou encore vos « caractéristiques de conduite », comme la vitesse, l’utilisation de la pédale de gaz, les freins, le pilotage, le port des ceintures de sécurité, etc. Ford peut en outre partager ces informations avec des tiers. 

Si cette collecte de données n’est pas d’emblée illégale, il faut se rendre compte que l’ampleur de ces données peut être conséquente et qu’elles sont particulièrement précieuses pour les constructeurs automobiles.

 

Vendez votre voiture, pas vos données

Gardez également à l’esprit que votre voiture elle-même stocke de nombreuses informations. Pour éviter qu’un futur acheteur n’ait accès à vos données personnelles, vous devez procéder à une sorte de 'réinitialisation générale'. Vous pouvez découvrir la marche à suivre dans cette vidéo de nos collègues anglais de Which?.

Il faut une meilleure réglementation

Impossible de savoir si une voiture achetée aujourd’hui sera, demain, suffisamment protégée contre les cyberattaques. Il n'est pas encore assez tenu compte de la sécurité. S’il existe déjà des normes de sécurité, les constructeurs ne sont pas encore tenus de les respecter. 

Différentes instances planchent actuellement sur une nouvelle réglementation afin de veiller à ce que toutes les nouvelles voitures soient protégées contre les cyberattaques, même si l’on ignore encore quand celle-ci entrera en vigueur ou si elle sera transformée en mesures obligatoires pour la cybersécurité. 

Des directives plus claires sont nécessaires sur le plan de la vie privée. Les voitures connectées collectent une quantité considérable de données précieuses. C’est le consommateur qui occupe le siège du conducteur: il doit pouvoir transférer ses données et déterminer qui peut y avoir accès.
 

Faites un choix éclairé

Besoin d'une nouvelle voiture ? Nous vous aidons à faire votre choix. Consultez notre comparateur de voitures et découvrez les résultats de test pour plus de 200 modèles.

Vers le comparateur de voitures

Community

Mobilité

Conversations liées