Cybersécurité : pirater une voiture, simple comme bonjour, selon un hacker

A l'aide d'une Toyota hybride rouge, cet Antillais de 42 ans montre quelques techniques imparables pour prendre le contrôle d'une voiture à
distance: piratage des clés, de l'ordinateur de bord ou d'un capteur des pneus.
"J'ai juste branché mon téléphone sur la moelle épinière de la voiture, qui passe dans le rétroviseur intérieur. Ce pilote automatique, c'est un logiciel libre, tout est téléchargeable sur internet", déroule-t-il, sweat noir à capuche. La démonstration a lieu devant le public à l'occasion du championnat de hackers BreizhCTF, qui accueillait quelque 500 participants dans la nuit de vendredi à samedi.    

"Mon seul mérite, c'est d'avoir détourné ce logiciel libre conçu pour les versions américaines des Toyota, et de l'avoir adapté aux véhicules européens", poursuit celui qui est aussi météorologue de formation, spécialisé dans la prévention des catastrophes naturelles grâce au numérique.
Son but ? Tester des véhicules afin qu'ils puissent se conduire "tout seuls", voire à distance, et mettre au jour des failles de sécurité pour éviter les intrusions de personnes mal intentionnées. Comme lui, quelques centaines de hackers dans le monde travaillent sur la "cyber automobile", parfois en partenariat avec des constructeurs comme aux États-Unis, "mais pas en France dont ce n'est pas la culture", juge-t-il.    

L'un des moyens de faire ces tests est selon lui de trouver des pièces détachées sur Le Bon Coin pour "mieux comprendre comment elles fonctionnent et les détourner". Ainsi en va-t-il des petites valves connectées par radio installées sur les pneus pour informer le conducteur en temps réel de leur niveau de pression. 
   
"Crash-tests numériques"
"Si vous avez un défaut pneumatique, votre véhicule allume un voyant qui vous dit que vous avez par exemple un pneu sous-gonflé. Nous les hackers, on attire l'attention des constructeurs et des équipementiers qui n'ont pas chiffré les communications entre cette valve et l'ordinateur de la voiture", souligne Gaël Musquet, dont le livre de chevet est "The car hacker's handbook" [le manuel du pirate automobile, NDLR].
Il suffit selon lui de trouver la fréquence de communication du pneu et de se procurer une antenne radio amateur pour faire croire à quelqu'un que ses pneus sont dégonflés ou ont pris feu.
"Ce n'est pas de la science-fiction, on peut même arrêter un convoi, et c'est sans fin parce que ces véhicules seront de plus en plus équipés d'ordinateurs, de capteurs", prédit le hacker "éthique", qui réclame l'équivalent de "crash-tests numériques" pour tous les véhicules sortis d'usine.    

Une clé de voiture peut également être piratée. "Il suffit que quelqu'un s'approche de moi, capte le signal de ma clé, le duplique avec une antenne boucle et passe à côté de mon véhicule pour déclencher son ouverture", énumère-t-il, rappelant le précepte bien connu de la communauté, selon lequel "à chaque opportunité, une nouvelle vulnérabilité".   

Enfant déjà, Gaël Musquet aimait démonter ses jouets pour mieux comprendre leur fonctionnement. "Je suis né comme ça. Même aujourd'hui, ma machine à laver, mon four, si je n'arrive pas à en prendre le contrôle, je ne suis pas satisfait", plaisante-t-il.
"Notre rôle, c'est de voir les problèmes avant qu'ils n'arrivent et de corriger les failles avant qu'elles ne soient exploitées", explique-t-il, même si le premier risque cyber reste avant tout "le vol".   

Tous les moyens de transport ou presque sont concernés par les enjeux de cybersécurité : trains, avions, bateaux, trottinettes électriques... "A chaque fois qu'on menace l'ordinateur d'un de ces véhicules, on peut mettre en danger des vies humaines", relève M. Musquet, qui travaille avec l'armée de l'air.
En Bretagne, la cybersécurité génère aujourd'hui 8.000 emplois directs et indirects, selon le conseil régional. L'objectif est de passer à 80.000 d'ici dix ans.