Météorologue de formation, Gaël Musquet s’est également fait un nom dans la communauté cyber en mettant en lumière les vulnérabilités des véhicules connectés. Sa méthode ? Pirater ces systèmes pour ensuite partager ses découvertes lors de plusieurs événements, tels que le Breizh CTF. Pour Bretagne Cyber Alliance, il revient sur sa démarche et propose des pistes pour renforcer la cybersécurité automobile en France.
Peux-tu nous expliquer ta démarche consistant à hacker une voiture ?
La voiture est un excellent exemple pour illustrer les enjeux de cybersécurité et le manque de confiance à avoir dans les systèmes informatiques. Elle rassemble toutes les formes possibles d’attaques cyber. Malgré les efforts des constructeurs, on recense encore 133 800 vols de véhicules en France en 2022, soit un toutes les 4 minutes. Mon objectif est de démontrer les cinq surfaces d’attaque possibles sur un véhicule afin d’en comprendre les risques, maîtriser ces vulnérabilités et ouvrir des collaborations avec les constructeurs et équipementiers. J’ai commencé cette démarche à la Fonderie, l’agence numérique de la Région Île-de-France, notamment après une hospitalisation à Caen où j’ai constaté que les véhicules de sécurité publique étaient souvent peu sécurisés. Nous avions aménagé une Citroën Nemo avec des équipements connectés pour aider les hôpitaux et les pouvoirs publics à mieux comprendre les enjeux liés à la connectivité des véhicules.
Quels ont été les principaux enseignements de cette expérience ?
L’industrie automobile française est assez conservatrice, ce qui freine la collaboration et la prise en compte des failles, comme celles des valves de pneus connectées depuis 2012.
Quelles sont les 5 surfaces d’attaque en cybersécurité automobile ?
- Attaque physique : ouvrir la voiture sans clé grâce à des outils spécialisés.
- Attaque radio : détourner le signal du transpondeur des clés via relais ou rejeu pour ouvrir la voiture.
- Attaque électronique : connexion aux câbles et bus de données pour faire croire à la voiture qu’elle est associée à une nouvelle clé, permettant de la voler sans effraction. Ces attaques sont fréquentes.
- Attaque logicielle : perturber le système d’infodivertissement qui contrôle de nombreux aspects du véhicule, ce qui nécessite un chiffrement et une authentification solides.
- Attaque sur les données : exploiter les données échangées (contacts, itinéraires, etc.) pour mener des attaques ou de la surveillance (OSINT).
« Crucial que les vulnérabilités cyber ne viennent pas aggraver ces chiffres. »
Que penses-tu des véhicules de plus en plus connectés ?
La connectivité des véhicules s’inscrit dans la continuité des efforts pour améliorer la sécurité routière, qui a drastiquement réduit le nombre de morts (de 18 000 en 1972 à environ 3 000 aujourd’hui). La connectivité sert autant à la sécurité qu’au confort et au divertissement. Cependant, il est crucial que les vulnérabilités cyber ne viennent pas aggraver ces chiffres.
Les constructeurs sont-ils vigilants en matière de cybersécurité automobile ?
Ils y sont contraints par des normes légales, mais la vigilance varie. Certains, comme Tesla, collaborent activement avec les communautés hacker via des événements de type CTF. À l’étranger, notamment en Allemagne, au Royaume-Uni, au Japon ou aux États-Unis, une culture d’ouverture et de coopération entre constructeurs, forces de l’ordre et hackers est bien ancrée. En France, nous avons du retard et manquons d’événements publics permettant d’exposer les véhicules aux audits et tests par la communauté cyber.
Comment remédier à ce retard ?
Il faut renforcer la coopération entre l’ANSSI, les constructeurs et les régions, notamment via les campus cyber qui émergent. Des initiatives comme Automotive Grid Linux ou les Vehicules Research Labs (hackerspaces dédiés aux véhicules) favorisent le partage et l’innovation.
(1) Selon Coyote, 88 % des vols automobiles en 2022 ont été commis par des moyens électroniques.
Publié le 06 juillet 2023 par ANDRE Guillaume
Nos autres articles
Dernières actualités et moments forts
du campus cyber breton sont ici !
Besoin d’aide ou de conseils sur le sujet ?
L’équipe de Bretagne Cyber Alliance est là pour vous orienter vers le meilleur interlocuteur de l'écosystème !