La réalité rattrape toujours la fiction, même la mauvaise: de jeunes chercheurs universitaires de la côte ouest américaine ont réussi à envoûter deux voitures en prenant les commandes de leurs systèmes informatiques à distance.

Denis Arcand LA PRESSE

 Dans le but de démontrer la vulnérabilité de nos voitures de plus en plus bourrées de logiciels, ils ont fait de deux innocentes berlines de véritables autos hantées, presque aussi dangereuses que les voitures meurtrières des merveilleux navets cinématographiques de notre jeunesse qu'ont été The Car, The Hearse et, bien sûr, l'inoubliable Christine.

 

Ce faisant, les chercheurs de l'Université de Washington, à Seattle, estiment avoir prouvé que l'automobile est le prochain terrain de jeu des pirates informatiques. Et peut-être même la prochaine façon de déguiser un meurtre en accident.

 

L'entreprise visait l'avancement de la science et de la technologie, mais les jeunes universitaires ont l'air d'avoir eu un plaisir fou durant l'expérience, qui s'est déroulée sur la piste d'un aéroport désaffecté.

 

Puisant dans les budgets de recherche universitaires, les chercheurs ont acheté deux voitures flambant neuves 2009, puis se sont appliqués à infecter leurs ordinateurs de bord avec un programme qu'ils avaient bricolé eux-mêmes. Ils ont nommé leur programme malveillant CarShark, un nom qui ferait un excellent titre pour un film d'épouvante automobile qui aurait le même thème musical que Jaws.

 

Les auteurs ne nomment pas le nom des modèles acquis pour l'étude, parce qu'ils notent qu'ils auraient pu choisir n'importe quel modèle récent de n'importe quelle marque: l'accès USB, les programmes de base (ainsi que leur «surface attaquable») sont les mêmes chez tous les constructeurs automobiles, soulignent-ils.

 

Programmes informatiques sans protection

 

CarShark détecte les failles de sécurité de chaque application et permet à une personne à l'extérieur de commander de nombreuses fonctions critiques de la voiture. L'expérience a montré que l'informatisation galopante des voitures s'est faite sans considération sérieuse de la sécurité informatique.

 

Non seulement les logiciels automobiles sont-ils mal protégés, mais l'accès est surtout facile: les professeurs et étudiants californiens ont injecté CarShark dans l'auto à partir d'un ordinateur portable, tout simplement au moyen de la prise USB de diagnostic standardisée qu'on trouve sous le tableau de bord de toutes les autos récentes.

 

Ils ont aisément pris les commandes de la plupart des systèmes informatiques. Ensuite, tout en faisant avancer la connaissance, les quatre jeunes se sont joué entre eux des dizaines de tours pendables, quand c'était le tour de l'autre de conduire l'auto durant l'expérience. Ils ont coupé le moteur, fait apparaître des messages narquois sur l'écran vidéo, donné de violents coups de freins et mis le volume de la radio au maximum. C'était la canicule, ils ont fait cuire l'un d'eux en verrouillant les vitres électriques et en allumant le chauffage et les sièges chauffants. Une fois les fenêtres et les portes bien verrouillées et le conducteur au four, ils ont généré toutes sortes de sons stridents avec le système audio.

 





Voiture psychopathe et colérique

 

Le magazine Gizmag fait remarquer que certaines expériences font penser à certaines scènes du film Christine. On ne vous racontera pas tout le film (il est entièrement sur YouTube), mais quand même, juste un peu: Christine est une Plymouth Fury 1958 rouge psychopathe qui aime tuer. Avant même sa sortie de la ligne de montage, elle tue déjà des ouvriers à Detroit. Le générique est à peine fini qu'elle a déjà coupé la main d'un assembleur en le mordant avec son capot. Elle en tue un autre quelques stations d'assemblage plus loin.

 

Comme Christine est l'équivalent automobile d'une rousse fulminante, elle séduit ses propriétaires, qu'elle rend fous, y compris sa jeune victime dans le film, un étudiant de 17 ans un peu rejet. Durant le film, Christine active elle-même tous ses accessoires pour tuer ses victimes.

 

(En fait, Christine n'est pas si mauvais; attendez de voir The Hearse (Le Corbillard), mais surtout The Car).

 

Durant l'expérience, nos jeunes ingénieurs informaticiens n'ont tué personne, mais ils ont en quelque sorte reproduit des comportements vus dans Christine. Pendant qu'un collègue était au volant, ils ont actionné sans pitié et tous en même temps le klaxon, les phares, les fenêtres électriques, la radio, les lumières intérieures, les essuie-glaces, les serrures électriques et l'ouverture automatique du coffre. Le tout en faisant gicler sans arrêt du lave-vitre sur le pare-brise. Tout ça est un peu frustrant pour le conducteur. Cependant, il n'est pas mort.

 

Faux accidents et crimes parfaits?

 

Mais justement, les auteurs de l'étude Experimental Security Analysis of a Modern Automobile estiment que quelqu'un pourrait mourir. Ils affirment qu'une personne mal intentionnée - «un mécanicien, un préposé au stationnement, un ex-ami, un membre de la famille fâché, le propriétaire de l'auto» - pourrait introduire un programme malveillant avec seulement «une brève période de connectivité», par l'entremise de l'accès au port USB. Avec un programme invasif semblable à CarShark, on pourrait attenter à la vie de quelqu'un en provoquant un faux accident. Et ce, d'une façon bien plus efficace qu'en sciant un essieu, comme dans les vieux romans policiers.

 

Alors qu'une voiture infectée roulait sur la piste, les chercheurs - installés dans une voiture qui suivait le véhicule - ont pu enfoncer l'accélérateur à distance et «augmenter substantiellement le nombre de tours/minute», «desserrer les freins et empêcher (le conducteur) de freiner» ou, pire, «activer le frein avant droit et desserrer le frein avant gauche». Évidemment, ils n'ont pas tout fait en même temps. Mais un meurtrier pourrait.

 

Évidemment, les quatre hommes sont des docteurs en informatique, mais ils prennent la peine de souligner combien ça a été facile. Ils s'attendaient à devoir trimer pendant des semaines pour percer les logiciels des autos, mais ils disent que la sécurité des logiciels est rudimentaire et que ça s'est fait presque du premier coup.

 

Selon les chercheurs, dans l'état actuel de la technologie, il y a peut-être déjà eu des crimes parfaits : ils ont facilement introduit un code capable d'effacer toutes les traces de leurs manipulations.

 

Sources : Experimental Security Analysis of a Modern Automobile et Gizmag

Photo mptvimages.com

La vedette du film The Car était une version modifiée de la Lincoln Continental Mark III de 1971.

Photo Pierre McCann, archives La Presse

En 1974, des motards du Lac-St-Jean avaient mis la main sur un vieux corbillard à l'allure sinistre. Quelques années plus tard, le même genre de véhicule s'est retrouvé en vedette du film d'horreur The Hearse.