Le piratage, fléau des voitures électriques connectées ?

Le marché des voitures électriques est en pleine explosion, avec une croissance de plus de 50% sur le premier semestre 2013 aussi bien en France qu’aux États-Unis. Mais ces voitures ne sont plus seulement électriques, elles sont aussi connectées (à l’instar de la Tesla Modele S dont nous avons déjà parlé ici). Grâce à des applications dédiées, elles permettent à leur propriétaire de suivre et piloter différentes fonctionnalités : taux de chargement, déclenchement et arrêt de la charge, contrôle de la température intérieure, ouverture du toit, etc. Ces fonctionnalités, potentiellement très utiles, constituent aussi une nouvelle menace : le piratage !

Le système connecté des voitures électriques Tesla se fait électrocuter

Ce n’est pas d’une attaque de zombie dont aurait dû se méfier Elon Musk le président de Tesla Motors, mais d’un problème bien plus classique : la sécurité d’authentification.

En effet, fin août, George Reese, directeur de la division Cloud Computing de Dell, a annoncé avoir mis à jour une faille dans le système d’authentification de l’application permettant à un tiers de se connecter à un véhicule ne lui appartenant pas.

Selon lui, le constructeur a développé son propre système d’authentification en ignorant les conventions existantes au lieu de se baser sur celles utilisées (et éprouvées !) par les plus grands acteurs présents sur le web. De cette manière, Tesla Motors a mis en danger quelques-uns des avantages qui font la clé de la réussite de son entreprise.

Si la faille ne comporte aucun danger pour les utilisateurs – aucun moyen de provoquer un accident, sauf à surprendre le conducteur en klaxonnant inopinément – elle pourrait en revanche avoir un impact économique (et écologique ?) désastreux à deux niveaux :

• Tout d’abord en forçant la voiture à consommer plus que nécessaire lors de sa recharge augmentant ainsi les revenus du fournisseurs d’énergie ;
• Ensuite, en diminuant la durée de vie des batteries du véhicule pour forcer l’utilisateur à les renouveler plus souvent.

Dans le cas inverse, la faille pourrait aussi nuire aux fournisseurs d’énergie de ces véhicules, si des possesseurs de Tesla Modele S l’utilisaient pour jouer sur leurs véritables consommations d’énergie.

La sécurité, principale problématique liée aux objets connectés ?

La voiture électrique n’est pas le premier type d’objet connecté dont la sécurité d’authentification et d’accès est remise en cause.  Les compteurs intelligents – permettant d’optimiser ses consommations d’énergie – sont régulièrement remis en question vis-à-vis de leur protocole de sécurisation et certains ont même déjà été piratés. C’est le cas du « smart meter » allemand Discovergy dont le groupe de hacking réputé Chaos Computer Club a démontré la vulnérabilité en janvier 2012, en collectant des données privées et en altérant les consommations du compteur de manière à les rendre négatives.

La problématique de la sécurité ne peut désormais plus être ignorée par les acteurs de l’Internet des Objets. C’est une question sensible à laquelle font désormais particulièrement attention les consommateurs et qui peut très rapidement les faire se détourner d’un produit encore peu mature. Tesla Motors devra donc corriger cette faille dans les délais les plus brefs et, à l’avenir, fournir des preuves de la robustesse de la sécurité de son système. Il en va de sa crédibilité auprès de sa clientèle et, plus généralement, de la confiance du grand public dans les objets connectés.

Car ces nouveaux « smart objects » qui doivent nous aider à réduire nos consommations d’énergies ne pourront réellement se démocratiser sans l’assurance d’une sécurité forte de la part des entreprises qui les produisent.