BMW corrige une faille de sécurité affectant plus de 2 millions de voitures

Le service ConnectedDrive de BMW offre notamment un accès Internet et des fonctions de contrôle à distance depuis un smartphone. Des experts en sécurité ont découvert que la communication cellulaire entre le véhicule et le service en ligne pouvait être interceptée et détournée. 2,2 millions de modèles BMW, Mini et Rolls-Royce (propriétés du groupe) ont reçu une mise à jour de sécurité. © BMW 

Connexion Internet, services en ligne, applications en tout genre commencent à se populariser sur les écrans multimédia des tableaux de bord des voitures. Or, à l'instar de ce qui se fait en informatique, les constructeurs automobiles vont devoir porter une attention croissante à la sécurité des systèmes de communication de leurs modèles. Preuve en est avec ce qui vient d'arriver à BMW.

Le groupe allemand a été obligé de diffuser une mise à jour corrigeant une faille de sécurité dans son service en ligne ConnectedDrive. Ce dernier offre à l'automobiliste une connexion Internet et l'accès à des applications et services d'aide à la conduite et de divertissement. Le système fonctionne à partir d'une carte SIM présente dans le véhicule qui se connecte à un réseau cellulaire.

La vulnérabilité rendait possible le détournement de ConnectedDrive pour une prise de contrôle à distance de certaines fonctions, comme le déverrouillage des portières. Au total, 2,2 millions de véhicules utilisant ce service étaient concernés dont de nombreux modèles de BMW, mais aussi Mini et Rolls-Royce, deux marques appartenant au groupe allemand.

De plus en plus connectées, les voitures sont amenées à être confrontées aux mêmes risques de sécurité que les ordinateurs et les terminaux mobiles. © BMW  

Connexion sécurisée https

C'est l'ADAC, une fédération rassemblant des automobiles clubs d'Allemagne (plus de 18 millions de membres), qui a découvert cette faille l'été dernier. Pour l'exploiter, des spécialistes en sécurité ont lancé une attaque dite de l'homme du milieu (en anglais, man in the middle) en créant un faux réseau cellulaire qui a intercepté les communications du système ConnectedDrive.

Résultat, les assaillants avaient accès aux fonctions de contrôle à distance. L'ADAC dit avoir attendu que BMW ait publié un correctif pour en faire état publiquement. Réagissant à cette annonce, le constructeur allemand a choisi de tirer parti de cet épisode pour vanter sa réactivité. Dans son communiqué, BMW explique qu'il a renforcé la sécurité du système en protégeant les communications entre la voiture et le réseau par une connexion sécurisée https comme celle qu'utilisent de nombreux services en ligne. Par ailleurs, le véhicule vérifie l'identité du serveur pour être sûr qu'il appartient au groupe BMW.

Ces mesures de sécurité assez basiques n'étaient visiblement pas utilisées jusqu'alors, ce qui reste pour le moins étonnant. La mise à jour s'installe automatiquement dès que ConnectedDrive se connecte au réseau, mais les usagers peuvent aussi lancer l'opération manuellement depuis le menu de l'application. BMW précise qu'il n'a constaté aucune attaque exploitant cette vulnérabilité. En tout cas, le constructeur ferait peut-être bien de s'inspirer du fabricant de voitures électriques Tesla qui a créé une équipe de hackers pour éprouver la sécurité de ses véhicules.