Les constructeurs automobiles incapables d’affronter les failles de sécurité

Actualités - Hack - Posté on 25 Août 2015 at 1:08 par Solange Belkhayat-Fuchs
crédit : lineup33

crédit : lineup33

Dans un article au vitriol, Cory Doctorow, le fondateur de BoingBoing explique les raisons qui, selon lui, font des automobiles modernes de véritables nids de bugs. Il faut avouer que les dernières conférences Black Hat/DefCon/Usenix ont été riches en détournements et autres hacks visant la sacro-sainte bagnole. Comment se fait-il que plus d’une centaine de véhicules différents puisse, du jour au lendemain, s’avérer vulnérable à des intrusions d’une simplicité déconcertante ? L’attaque de Samy Kamkar, par exemple, repose en grande partie sur la largeur de bande proprement inacceptable des récepteurs radio et utilisée par les systèmes d’ouverture de certaines automobiles. Une attaque Man in the middle strictement identique avait fait l’objet de publications il y a plus de 5 ans à l’occasion d’une autre Black Hat Conference. Certes, la victime d’alors était une porte de garage, mais cela excuse encore moins les constructeurs de véhicules.

Cette situation, estime Doctorow, est la conséquence de l’attitude irresponsable desdits constructeurs, ancrés sur une position indéfendable : une automobile est une somme de propriétés intellectuelles, et s’y intéresser de près est une violation manifeste de ces droits. Et de rappeler la réaction violente de Volkswagen envers Flavio Garcia, lui interdisant de publier quoi que ce soit sur le coup et en le condamnant aux dépends. Il faut admettre qu’à la lecture de l’étude en question, Volkswagen et 25 autres de ses concurrents n’avaient pas de quoi pavoiser. L’on comprend d’autant mieux cette préférence pour la « sécurité par l’obscurantisme », quitte à ce que l’utilisateur final soit lésé… l’automobiliste pèsera toujours moins lourd qu’une image de marque égratignée. Le spectre de Ralf Nader, encore et toujours, et surtout la totale incapacité de ces industriels à analyser les règles sociétales en vigueur dans la sphère informatique, malgré une utilisation croissante d’outils provenant de ce monde. « Ce modèle est aussi détestable que celui mis en place par Oracle et Cisco » dit en substance Doctorow. En substance, car la prose qu’il emploie est très légèrement plus imagée.

Tout ce qui est excessif est insignifiant, et c’est peut-être là le seul reproche que l’on puisse adresser au journaliste Canadien. Mais les conclusions de son analyse ne font aucun doute : une profession, pis encore, une industrie toute entière tente de cacher la poussière sous le tapis, et ne corrige qu’au coup par coup ses erreurs lorsqu’une publication est sur le point d’inquiéter sa clientèle. Faudra-t-il attendre de véritables accidents corporels provoqués par quelque organisation mafieuse (contre lesquelles les armées d’avocats ne pourront rien) pour que l’Anssi, ou autre organisme d’Etat, exige que les marchés d’Etat soient inféodés à une procédure d’audit des systèmes numériques embarqués ? Ou pour que ces mêmes industriels apportent autant de soin à leurs ordinateurs de bord qu’ils ne le font déjà pour leurs constructions mécaniques ? Il a fallu près de 15 ans pour que le secteur informatique fasse de la sécurité un élément constitutif de ses processus de fabrication, et encore est-on loin d’une situation généralement satisfaisante. Si le secteur automobile met autant de temps à digérer l’intégration numérique, les accidents de la route devront peut-être autant à cette négligence que l’alcool et le non-respect du code.

Laisser une réponse