Il y a quelques mois, le groupe BMW publiait un patch de sécurité pour son logiciel embarqué qui permet de profiter d’une « voiture connectée », intégré à plus de 2 millions de véhicules. Cela n’aurait-il pas pu être évité si une attention particulière avait été portée à la sécurité de cet « objet connecté »?
Au mois de février 2015, des BMW, des Rolls-Royce et des Mini ont été impacté par une faille présente dans le logiciel embarqué ConnectedDrive du groupe BMW.
Avec une carte SIM, le logiciel permet aux fabricants de voitures d’accéder et de contrôler les fonctionnalités relatives à la conduite de la voiture, les fonctions connectées à Internet (comme la musique, les guides de voyage ou encore les réseaux sociaux), les fenêtres et les portes. Imaginez ce qui aurait pu se passer si des hackers avaient découvert la faille avant les chercheurs de l’automobile-club allemand ADAC.
C’est grâce à une étude que la faille de sécurité a été découverte, dans la transmission de données sur un réseau mobile, ce qui pouvait permettre à un pirate de contrôler les fonctions de la carte SIM de ConnectedDrive, d’ouvrir les portes de véhicules et même, de récupérer des e-mails envoyés via une BMW, en quelques minutes et à distance.
Pour empêcher un piratage de type man-in-the-middle, BMW a ainsi activé le chiffrement des données via le protocole HTTPS.
Pourquoi le HTTPS n’a-t-il pas été utilisé dès le début ?
Si nous prenons un peu de recul et nous intéressons à la situation globale, nous comprenons pourquoi l’Internet des objets peut être à l’origine de mauvaises expériences. Nous avons :
- une société qui se soucie de sa réputation
- une société qui a les moyens de faire appel à des développeurs qualifiés et de réaliser des tests d’assurance qualité logicielle (QA)
- un produit haut de gamme et onéreux
- une action de contrôle-commande activée par la connexion à Internet, ce qui la rend extrêmement sensible en matière de sécurité.
Au vu de tous ces éléments, on pourrait s’attendre à ce qu’une entreprise avec autant de moyens, qui se lance dans la conception d’un système ayant un impact important dans différents secteurs, s’attache à bien faire les choses dès le début.
Cependant, la faille de sécurité du système de BMW qui permettait à des tiers de passer des commandes de contrôle à distance, sans authentification, via une connexion non chiffrée, prouve que de nombreux fabricants considèrent toujours la sécurité de ce type de technologie « après coup ».
Cette faille aurait pu être découverte à tout moment. Et elle existait encore plusieurs mois après sa découverte, tant que la société n’avait pas publié de correctif.
Dans ces conditions, que pouvons-nous attendre des fabricants ayant des budgets plus limités, des produits bon marché et qui n’attachent pas autant d’importance à leur réputation ?
Voyons le bon côté des choses : la faille de sécurité a été découverte par un organisme respectable et la société a pris des mesures pour améliorer la sécurité. Cela démontre que notre prévision n°7 en matière de sécurité pour 2015 pourrait être confirmée d’ici la fin de l’année. Au moins en partie.
