Météorologue de formation, Gaël Musquet est également reconnu dans la communauté cyber pour alerter sur les failles potentielles que cachent les véhicules connectés. Comment ? En les hackant et en exposant le fruit de son travail lors de divers événements, comme le Breizh CTF. Pour le Cyberblog, il explique sa démarche et dresse des pistes de réflexion pour améliorer la cybersécurité automobile en France, comme l’organisation d’événements dédiés à ces sujets, à l’instar du Car Hacking Festival organisé par l’ESNA, à Bruz (Ille-et-Vilaine).
Peux-tu nous expliquer ta démarche consistant à hacker une voiture ?
La voiture est l’objet parfait pour parler de cybersécurité et de cette confiance que l’on ne doit pas avoir dans les systèmes informatiques. Elle permet d’adresser toutes les facettes possibles et imaginables de la cyber. Les constructeurs rivalisent d’imagination pour pouvoir sécuriser les véhicules. Malgré tous leurs efforts, on a recensé 133 800 vols en 2022, soit une voiture volée toutes les 4 minutes en France. L’idée de ma démarche est de montrer les cinq surfaces d’attaque que l’on a sur un véhicule. Il est important de les connaître, de les maîtriser et de les mettre en œuvre pour ouvrir des pistes de collaboration avec les équipementiers et les constructeurs. J’ai commencé cette démarche lorsque je travaillais à la Fonderie, l’agence numérique de la Région Île de France. À la suite d’une grave maladie, j’avais été hospitalisé un mois et demi à l’hôpital de Caen. J’avais sympathisé avec le directeur technique de l’établissement. J’ai pu réaliser à quel point les hommes et les femmes qui assurent notre sécurité ont des véhicules dévalués. À la Fonderie, nous avions acheté une Citroën Nemo, que nous avions équipée de panneaux solaires, de fibres optiques, de tablettes 10 pouces, de Raspberry Pi pour faire un petit data center, d’équipements médicaux. L’objectif était d’être capable d’éclairer la puissance publique de la Région Île de France, mais aussi les hôpitaux sur la direction à prendre en matière de connectivité des véhicules pour améliorer le quotidien des soignants.
Quels avaient été les principaux enseignements issus de cette expérience ?
Nous nous étions rendu compte que l’industrie automobile, surtout en France, était conservatrice et qu’il était compliqué de travailler avec des constructeurs automobiles et des équipementiers. Ce conservatisme était le moteur de certaines failles de sécurité, notamment sur les valves des pneus qui sont connectés depuis 2012.
En matière de cybersécurité automobile, quelles sont les 5 surfaces d’attaque ?
Il y a tout d’abord l’attaque physique. Des outils existent pour ouvrir le véhicule sans avoir la clé physique. La deuxième, c’est la surface d’attaque radio. La clé est équipée d’un transpondeur. À travers deux types d’attaques, relais ou rejeu, on est capable de détourner ce signal et le rejouer à proximité du véhicule pour lui faire croire qu’on en est le propriétaire et qu’on est en droit de l’ouvrir. La troisième surface d’attaque est électronique. Elle consiste à se connecter sur un certain nombre de câbles et des bus de données. L’attaquant fera croire à la voiture qu’elle est associée à une nouvelle clé afin de le voler sans effraction. Ces attaques sont malheureusement assez fréquentes (1). La quatrième est d’ordre logiciel. L’attaquant va perturber le fonctionnement logiciel du système d’infotainment de la voiture, qui est aujourd’hui extrêmement lié à la protection de la voiture. Aujourd’hui, les véhicules sont massivement connectés, pour plusieurs raisons. Pour accéder à son parking, accéder au télépéage, etc. Il est donc très important de sécuriser les véhicules d’un point de vue logiciel et que l’on puisse authentifier, chiffrer les communications entre le véhicule et les différents appareils, les différents systèmes auxquels il va être connecté. La dernière surface, ce sont les données. Celles qui vont entrer et sortir du véhicule peuvent permettre de porter atteinte à la sécurité des biens et des personnes. Par exemple, les carnets d’adresses ou de contacts dans les véhicules permettent de faire un peu d’OSINT, des arbres relationnels entre les différentes personnes qui sont dans l’entourage du conducteur.
“Les vulnérabilités cyber ne doivent pas aggraver les chiffres que l’on a en sécurité routière”
Que penses-tu des véhicules qui sont de plus en plus connectés ?
D’abord, il faut comprendre le contexte dans lequel s’inscrit la connectivité des véhicules. La sécurité routière a plusieurs versants. Elle a des versants sociétal et judiciaire. Mais elle a aussi un gros versant technologique, notamment au moment de la conception et de la fabrication. Les véhicules sont de plus en plus sûrs parce qu’ils sont fabriqués par des ordinateurs. Ils sont donc de plus en plus fiables. Les constructeurs ont beaucoup travaillé la sécurité des piétons, des conducteurs et des passagers, grâce à des systèmes et des organes de sécurité qui sont tous informatisés, comme l’ABS, l’aide au freinage, les airbags etc. La connectivité est importante pour la sécurité des personnes à bord du véhicule et autour. Aujourd’hui, elle s’inscrit dans cette continuité pour le confort et le divertissement. Le nombre de morts sur les routes a été divisé presque par 6. En 1972, année la plus meurtrière, on dénombrait 18 000 victimes. Désormais, c’est environ 3000, ce qui est toujours beaucoup trop. Il ne faudrait pas que des vulnérabilités cyber aggravent les chiffres que l’on a aujourd’hui en matière de sécurité routière.
Les constructeurs sont-ils vigilants par rapport aux risques liés à la technologie connectée de leurs véhicules ?
Ils n’ont pas le choix. Aujourd’hui, des normes leur imposent un certain nombre de contrôles, de points de vigilance, comme on en a aujourd’hui en matière de sécurité routière. En cybersécurité, c’est pareil. Il y a tout d’abord un contexte légal qui a évolué et qui responsabilise les constructeurs et les équipementiers. Ensuite, des constructeurs sont beaucoup plus vigilants sur ces questions, en tout cas qui sont beaucoup plus proactifs, et qui ont des liens avec les communautés cyber beaucoup plus forts. C’est le cas de Tesla, qui exploite ses véhicules régulièrement à l’occasion de CTF. En Allemagne, on a une très forte collaboration entre les constructeurs, mais aussi avec les autorités, la gendarmerie, les polices européennes, mais aussi les communautés de hackers. Il existe une grande culture de l’ouverture en Allemagne, en Angleterre, au Japon et aux États-Unis. Cette culture de la préparation automobile, de la performance, elle transpire dans les communautés de hackers et dans les communautés cyber auprès de ces constructeurs. Nous avons un retard en France à ce sujet. Nous n’avons pas d’événements publics dans lesquels sont exposés des véhicules comme je le fais. Afin de progresser sur ces questions de cybersécurité automobile, il est important que ces véhicules soient audités, il est important que ces véhicules soient exposés, soient mis à disposition de communautés de hackers. C’est important de pouvoir travailler en bonne intelligence avec les équipementiers et les constructeurs. Il n’y a pas d’antagonisme à avoir sur ces questions, bien au contraire, nous sommes extrêmement complémentaires entre les ingénieurs, qui vont concevoir les véhicules, et les hackers, qui vont les démonter et chercher les vulnérabilités.
Comment remédier à ce manque ?
Il y a déjà deux points de vue régaliens. Il y a évidemment l’ANSSI, qui travaille sur ces questions et qui a même du mal, parfois, à travailler avec ses constructeurs. C’est important déjà que les constructeurs puissent travailler avec le régalien. Ensuite il y a les régions. Les campus cyber vont y naître. On pourra y parler ouvertement de ces sujets, y accueillir des experts, des néophytes ou des personnes qui ont envie de comprendre et d’échanger. Ensuite, il existe de grandes initiatives comme l’Automotive Grid Linux. Ce sont des consortiums de constructeurs qui, au sein de la Fondation Linux, travaillent sur ces sujets. On a CoreOS, qui est une initiative de Red Hat, entre autres, qui est un grand éditeur open source qui travaille sur ces sujets. La Fondation Eclipse travaille sur la virtualisation des systèmes d’information des véhicules, tout ça en open source. Selon moi, cette culture du logiciel, du standard et du matériel libre contribue aux échanges et à la porosité entre l’industrie automobile et l’industrie numérique. Et enfin, il y a les Vehicules Research Labs, qui sont de véritables hackerspaces, des fablabs dédiés aux véhicules. Cela a été très bien théorisé par Craig Smith dans le Car Hacker Handbook, qui est la référence en matière de cybersécurité automobile. Le Car Hacking Festival, j’en ai rêvé, l’ESNA va le faire. Cela va permettre à différentes communautés d’échanger, de travailler ensemble et de favoriser cette porosité entre les différentes parties prenantes de l’industrie automobile.
(1) Dans son observatoire des vols automobiles, Coyote estime à 88% la part de vols électroniques commis en 2022.
