A 47 ans, l’Américain Charlie Miller est l’un des hackers les plus doués de sa génération. L’ex-ingénieur informatique de la NSA (National Security Agency) a d’abord travaillé à la sécurité de l’information de Twitter, puis des produits Apple avant de se spécialiser dans la sécurité automobile chez Uber et pour le chinois Didi Chuxing. Aujourd’hui employé de l’entreprise américaine Cruise Automation, Charlie Miller plaide pour une plus grande transparence des constructeurs. Un impératif pour augmenter la sécurité des véhicules autonomes, plaide celui qui sera l’un des intervenants aux Swiss Cyber Security Days, les 27 et 28 février, à Forum Fribourg.
Pourquoi soutenez-vous que les véhicules autonomes figurent au sommet de toutes les choses terribles qui pourraient mal tourner?
Les ordinateurs connectés sont de plus en plus intégrés dans de nombreux produits, comme les téléviseurs, les réfrigérateurs, les grille-pain et même les ampoules électriques. C'est également le cas de l'automobile, à mesure qu'elle se connecte au monde extérieur. Bien sûr, l'impact d'une attaque contre ces appareils varie considérablement. C'est une chose si un agresseur entre dans votre réfrigérateur et découvre quel type de fromages vous aimez ou vous commande du lait. C'est un risque d’une toute autre ampleur si un attaquant peut pirater votre voiture et en contrôler son fonctionnement.
C'est l'une des raisons pour lesquelles la sécurité automobile est si importante et pourquoi je m'intéresse à ce domaine. Lorsque vous ajoutez les voitures auto-propulsées dans cette équation, cela devient encore plus passionnant. À l'avenir, ces voitures n'auront même pas de volants ou de pédales de frein, de sorte que les conducteurs seront complètement à la merci de l'ordinateur installé dans le véhicule. Il sera donc essentiel de s'assurer que l'ordinateur n'a pas été trafiqué par un pirate.
Chaque nouvelle caractéristique «connectée» d'une voiture introduit une plus grande complexité, et la complexité s'accompagne inévitablement d'une vulnérabilité. Cela signifie-t-il que la tendance mondiale pour les voitures autonomes augmente les risques?
En surface, les voitures autonomes semblent augmenter le risque d'attaques du fait qu'elles sont plus connectées. Aussi parce qu’elles sont dotées d’ordinateurs qui contrôlent le véhicule en direct. Mais les voitures autonomes ont aussi d'importants avantages en matière de sécurité que les défenseurs (comme moi) peuvent utiliser pour les protéger. Pour l'instant, la façon dont on envisage l'auto-conduite, c'est qu'elle fera partie d'un service, plutôt que d'être achetée et conservée à la maison. Cela nous permet d'inspecter, de mettre à jour le véhicule sur une base quotidienne afin de suivre ainsi en permanence chaque voiture et de rechercher toute irrégularité ou anomalie. Vous pouvez comparer cette situation à celle d'automobiles achetées où le concessionnaire/fabricant n'aura peut-être jamais l'occasion d'interagir avec le véhicule après la vente. Ce sont ces types d'avantages dont nous pouvons tirer parti pour essayer de protéger les voitures auto-propulsées contre les attaquants.
Vous avez quitté Uber pour son concurrent chinois Didi parce que ce dernier vous a permis de discuter plus ouvertement de votre travail. Pensez-vous que les constructeurs automobiles sous-estiment la menace des cyberattaques et qu'ils devraient faire preuve de plus de transparence?
C'est l'une des nombreuses raisons pour lesquelles je suis parti. Le secteur automobile en général est assez secret. Cependant, avec un domaine aussi important que la cybersécurité, je pense qu'il est logique de partager autant que possible. Les constructeur peuvent apprendre les uns des autres et travailler ensemble pour assurer la sécurité de tous les véhicules. Disposer d’un véhicule sûr ne devrait pas être un avantage concurrentiel. Nous voulons que tout le monde soit en sécurité.
Vous avez réalisé de nombreux exploits dans plusieurs industries. Mais en 2015, vous avez pu montrer publiquement comment prendre le contrôle d'une Jeep Cherokee. Cela a obligé Fiat Chrysler à rappeler 1,4 million de ses véhicules à la suite de l'expérience de piratage informatique. Expliquez-nous plus en détail ces exploits.
Oui, j'ai été le premier à pirater un iPhone, puis un téléphone Android et j'ai gagné quatre fois la plus grande compétition de piratage. Mais comme vous le dites, je suis surtout connu pour avoir démontré, avec mon partenaire de recherches Chris Valasek, une vulnérabilité dans un certain nombre d'automobiles Fiat Chrysler. La seule condition préalable à cette attaque était que la voiture soit allumée. Cela nous a permis d'envoyer des messages à la voiture qui ont pris le contrôle physiquement de choses simples comme le compteur de vitesse et les essuie-glaces et de choses plus effrayantes comme les freins et la direction.
Nous avons fait rapport de ces constatations à la Fiat Chrysler Automobiles (FCA) neuf mois avant de les divulguer publiquement afin de lui donner le temps de régler les problèmes, ce qu'elle a fait. La semaine où cette expérience a été rendue publique, tous les véhicules étaient à l'abri des attaques grâce aux correctifs mis en place. C'est pourquoi nous cherchons et signalons le problème pour que ces véhicules soient réparés et plus sécurisés.
Pourquoi des entreprises comme Uber, Tesla et d'autres ne sont pas en mesure de sécuriser leurs voitures? Est-ce un manque de compétences techniques? Ou d’un déficit de conscience de ce qui pourrait être fait en termes d'attaques?
C'est la même raison pour laquelle des entreprises comme Google, Apple, Microsoft et Facebook ne sont pas en mesure de sécuriser complètement leurs produits. Personne ne sait écrire un code parfait. Un code imparfait a des défauts et beaucoup de ces défauts peuvent entraîner des problèmes de sécurité. Une fois que l'on accepte ce fait, il devient important non seulement d'essayer de réduire les vulnérabilités des produits, mais aussi de simplifier les produits, de supprimer les fonctions et le code inutiles, et de surveiller et de réagir aux attaques.
Quels sont les plus grands défis de sécurité auxquels l'industrie automobile est confrontée?
La première vulnérabilité de produits comme Windows a été découverte il y a plus de 20 ans. Les premières failles des voitures ont été trouvées il y a 7 ans et les premières qui ont suscité beaucoup d'attention ont été celles que Chris et moi avons trouvées il y a 3 ans. Les constructeurs automobiles font donc naturellement un peu de rattrapage par rapport à certains fournisseurs de logiciels qui s'occupent de ces questions depuis longtemps. L'autre élément qui complique l'industrie automobile est le temps qu'il faut pour fabriquer une voiture. Le nouveau code ou les nouvelles fonctionnalités peuvent passer de l'idée au déploiement sur un produit comme un iPhone en quelques mois (ou même moins). En raison de la nature de la conception d'une automobile, notamment l'installation d'usines et le travail avec les fournisseurs, si vous vouliez modifier aujourd'hui la conception d'une voiture pour y inclure des caractéristiques de sécurité supplémentaires, cette voiture ne prendrait pas la route avant 4-5 ans.
De plus, contrairement à un téléphone que vous pouvez garder pendant quelques années, cette voiture sera sur la route pendant plus de dix ans. Par conséquent, la sécurité de certaines voitures en circulation aujourd'hui peut avoir été conçue il y a 15 ans. Cela signifie qu'il est important pour les constructeurs automobiles d'être avant-gardistes et de concevoir en toute sécurité avant qu'il y ait des problèmes. Cependant, avant de trop paniquer, il est important de se rappeler qu'aucune voiture n'a jamais été piratée à des fins malveillantes. Et nous travaillons pour qu'il en soit toujours ainsi!
>>> Plus d'infos sur les Swiss Cyber Security Days