On s'en doutait fortement, les Américains viennent de nous le confirmer. Par deux fois. Les voitures d'aujourd'hui sont susceptibles d'être piratées, pour être contrôlées à distance ou pour permettre l'accès à des données personnelles. Qu'en sera-t-il des voitures connectées et autonomes à l'avenir ?

LA PREUVE

Non seulement les constructeurs automobiles n'ont pas trouvé la parade à la menace de piratage à laquelle s'exposent les voitures connectées et autonomes de demain, mais en plus, ils ne font presque rien pour contrer tout problème éventuel sur nos voitures d'aujourd'hui, comme l'ont récemment démontré tour à tour le département américain de la Défense et le rapport d'un sénateur d'allégeance démocrate.

Une équipe de l'Agence pour la recherche avancée de ce ministère américain (le DARPA) a créé un petit émoi au début du mois en montrant - images à l'appui - qu'elle avait pu prendre le contrôle d'une Chevrolet Impala par l'entremise du célèbre système d'assistance routière OnStar de GM.

Réalisée pour le compte de l'émission 60 Minutes sur CBS, l'expérience a permis, à distance, d'actionner les essuie-glaces, de klaxonner, de freiner et d'accélérer, sans que la conductrice n'ait fait quoi que ce soit. Pire, elle n'a pu empêcher la voiture de heurter une rangée de cônes alors qu'elle freinait autant qu'elle pouvait. Pour l'expérience, le pseudo-pirate informatique en avait décidé autrement...

LES MOYENS

Ce n'est pas la première fois que le DARPA réussit à contrôler ainsi un véhicule à l'aide d'un simple ordinateur portable.

Les pirates peuvent accéder à un véhicule le plus souvent par l'intermédiaire des connexions sans fil. Non seulement il a été démontré qu'ils pouvaient agir en utilisant un système d'assistance comme OnStar, mais en plus, on a appris, dans un récent rapport (voir ci-dessous), qu'ils pouvaient pirater une voiture par l'entremise d'un téléphone intelligent connecté au véhicule.

LA CONFIRMATION

Cette dernière démonstration - édifiante - des chercheurs du DARPA a trouvé un écho le lendemain au Congrès, à Washington. Ed Markey a remis son rapport sur le piratage et les données propres à l'automobile. « Les lacunes de la sécurité et de la vie privée mettent en danger les automobilistes américains », titre celui-ci. Rien de moins.

Le sénateur du Massachusetts n'est pas tendre avec les 16 constructeurs qui ont accepté de lui répondre, de manière pas toujours exhaustive et précise.

«Les mesures de sécurité prises pour prévenir tout accès à distance à l'électronique des véhicules sont maigres et aléatoires chez tous les constructeurs automobiles», écrit-il.

Interrogés sur leurs capacités à contrôler en temps réel les systèmes électroniques afin de détecter toute intrusion potentielle et d'y répondre, les constructeurs ont pour la plupart répondu en faisant référence à des enregistreurs d'informations de bord.

«Les infiltrations ne seraient donc connues des constructeurs que si les données étaient téléchargées par un concessionnaire ou un centre de service lors d'un passage ultérieur au garage», souligne le rapport.

L'UTILISATION DE DONNÉES

Le document nous confirme que les constructeurs automobiles collectent de «vastes quantités de données» sur tout ce qui se rapporte à notre conduite et aux performances de la voiture. La majorité d'entre eux transmettent par réseau sans fil ces données à leurs serveurs ou à des tiers non identifiés par les auteurs du rapport.

Ce que les constructeurs font de ces données est très vague et, dans le fond, inconnu. De même que la durée durant laquelle ils les conservent, qui varie de moins d'un an à indéfiniment.

Bien évidemment, le consommateur ignore le plus souvent l'existence de ces collectes de données. Cette information est habituellement disponible (quand elle l'est) dans le manuel du propriétaire ou dans les conditions du contrat d'acquisition...

LES BONNES INTENTIONS

L'industrie automobile a reconnu l'existence de déficiences et d'incohérences, en y allant de déclarations d'intentions bienveillantes pour l'avenir. Sans convaincre totalement le sénateur Ed Markey.

«Il y a un manque évident de mesures de sécurité appropriées pour protéger les conducteurs contre les pirates informatiques qui sont capables de prendre le contrôle d'un véhicule ou contre ceux qui souhaitent collecter et utiliser les informations personnelles du conducteur», ont-ils conclu, son équipe et lui, dans le rapport.