Au mois de février 2015, des BMW, des Rolls-Royce et des Mini ont été impacté par une faille présente dans le logiciel embarqué ConnectedDrive du groupe BMW.

Avec une carte SIM, le logiciel permet aux fabricants de voitures d’accéder et de contrôler les fonctionnalités relatives à la conduite de la voiture, les fonctions connectées à Internet (comme la musique, les guides de voyage ou encore les réseaux sociaux), les fenêtres et les portes. Imaginez ce qui aurait pu se passer si des hackers avaient découvert la faille avant les chercheurs de l'automobile-club allemand ADAC.

Selon certaines sources, l’ADAC a commandé une étude relative à la technologie portant principalement sur les problèmes de transmission de données susceptibles de porter atteinte aux intérêts des consommateurs.

L’étude a découvert une faille de sécurité dans la transmission de données sur un réseau mobile, pouvant permettre à un pirate de contrôler les fonctions de la carte SIM de ConnectedDrive, d’ouvrir les portes de véhicules et même, de récupérer des e-mails envoyés via une BMW, en quelques minutes et à distance. 

Selon le blog du spécialiste en sécurité Graham Cluley, cette découverte a eu lieu l’an dernier mais l’ADAC a attendu que le constructeur automobile publie un correctif avant de révéler cette information, afin d’éviter que des hackers ne l’apprennent – selon BMW, la faille n’aurait d’ailleurs pas été exploitée.

Pour empêcher un piratage de type man-in-the-middle, BMW a ainsi activé le chiffrement des données via le protocole HTTPS.

Pourquoi le HTTPS n’a-t-il pas été utilisé dès le début ?

Si nous prenons un peu de recul et nous intéressons à la situation globale, nous comprenons pourquoi l’Internet des objets peut être à l’origine de mauvaises expériences. Nous avons :

• une société qui se soucie de sa réputation
• une société qui a les moyens de faire appel à des développeurs qualifiés et de réaliser des tests d’assurance qualité logicielle (QA)
• un produit haut de gamme et onéreux (il ne s’agit pas ici d’un thermostat à 200 € !)
• une action de contrôle-commande activée par la connexion à Internet, ce qui la rend extrêmement sensible en matière de sécurité (et il ne s’agit pas de commander des ampoules à distance).

Au vu de tous ces éléments, on pourrait s’attendre à ce qu’une entreprise avec autant de moyens, qui se lance dans la conception d’un système ayant un impact important dans différents secteurs, s’attache à bien faire les choses dès le début.

Cependant, la faille de sécurité du système de BMW qui permettait à des tiers de passer des commandes de contrôle à distance, sans authentification, via une connexion non chiffrée, prouve que de nombreux fabricants considèrent toujours la sécurité de ce type de technologie « après coup ».

Cette faille aurait pu être découverte à tout moment. Et elle existait encore plusieurs mois après sa découverte, tant que la société n’avait pas publié de correctif.  

Dans ces conditions, que pouvons-nous attendre des fabricants ayant des budgets plus limités, des produits bon marché et qui n’attachent pas autant d’importance à leur réputation ?

Voyons le bon côté des choses : la faille de sécurité a été découverte par un organisme respectable et la société a pris des mesures pour améliorer la sécurité. Cela démontre que notre prévision n°7 en matière de sécurité pour 2015 pourrait être confirmée d’ici la fin de l’année. Au moins en partie.

Il reste une question sans réponse : combien de vulnérabilités dans des objets connectés ont déjà été découvertes par des structures moins respectables et sont en vente sur le marché noir, en attendant d’être exploitées ?