Un simple clic, quelques mètres de distance et un pirate pourrait prendre le contrôle de votre voiture. Cette alerte, venue de chercheurs en cybersécurité, révèle une faille de sécurité dans des millions d’objets connectés utilisant le Bluetooth.
Une grande faille de sécurité critique a été repérées dans Blue SDK, un kit Bluetooth très répandu dans l’industrie. Ce kit alimente les connexions sans fil de nombreux appareils mobiles, industriels, médicaux… mais aussi automobiles. Selon OpenSynergy, le développeur du SDK, la technologie est intégrée dans plus d’un milliard d’appareils à travers le monde.
Parmi eux, 350 millions de véhicules, dont des modèles de Mercedes-Benz, Skoda et Volkswagen, utilisent Blue SDK ou RapidLaunch. Cette seconde version repose sur la première, donc partage les mêmes failles potentielles. La chaîne d’attaque complète, surnommée PerfektBlue, combine quatre bugs allant d’un score de danger « faible » à « élevé ».
Comment fonctionne PerfektBlue ?
Les chercheurs de PCA Cyber Security sont à l’origine de la découverte, annoncée en mai 2024. Ils ont démontré qu’il est possible d’exécuter du code à distance (RCE) en combinant ces vulnérabilités. Pour réussir l’attaque, l’agresseur doit se trouver à environ 5 à 10 mètres de l’appareil cible.
Mais les fabricants ne sont pas d’accord sur les conditions exactes. Volkswagen affirme que cinq conditions doivent être réunies pour que PerfektBlue fonctionne. Notamment : le contact doit être mis, l’infodivertissement activé, le mode appairage enclenché et l’utilisateur doit accepter manuellement la connexion.
Les chercheurs contestent les propos de Volkswagen
Mikhail Evdokimov, de PCA, affirme que plusieurs conditions citées par le constructeur sont incorrectes. « Sur certaines voitures comme la Skoda Superb, pas besoin de mettre le contact pour activer l’infodivertissement », explique-t-il. De plus, selon les tests réalisés, certaines voitures permettent de lancer le mode appairage sans action de l’utilisateur.
Les modèles Mercedes-Benz NTG6 nécessitent l’activation manuelle. Mais ce n’est pas le cas des Volkswagen ID.4 ou Skoda Superb. Ce qui montre que la portée de l’attaque dépend largement du modèle et de la configuration de chaque véhicule.
Une attaque qui peut aller très loin
Une fois la connexion Bluetooth établie, les possibilités pour le pirate deviennent sérieuses. PCA décrit plusieurs scénarios : suivi GPS du véhicule, enregistrement audio à distance, vol des contacts et données personnelles.
Pire encore, la compromission de l’infodivertissement pourrait servir de porte d’entrée vers des modules plus sensibles. Une fois à l’intérieur du système embarqué, l’attaquant peut naviguer vers d’autres composants électroniques du véhicule. C’est ce que souligne l’équipe PCA dans ses recherches publiées.
Volkswagen tempère cette idée : selon eux, des couches de sécurité empêchent toute atteinte à la direction ou aux freins.
Un correctif déployé… mais pas partout
OpenSynergy indique avoir transmis un correctif dès septembre 2024 à ses clients directs. Pourtant, certains fabricants d’équipements n’ont toujours pas été informés. Un constructeur anonyme a même déclaré ne pas avoir reçu d’alerte sur la faille.
La raison ? OpenSynergy explique que son client était un fournisseur intermédiaire, non pas l’équipementier final. La notification a donc pu se perdre dans les méandres de la chaîne d’approvisionnement. L’entreprise estime que seule une poignée de systèmes restent vulnérables à ce jour.
Nick Tausek, expert en cybersécurité chez Swimlane, relativise la menace immédiate pour les particuliers. Il y voit plutôt l’illustration d’un problème plus large dans l’écosystème de l’Internet des objets. « Les correctifs tardent à arriver à cause de la complexité des chaînes de fabrication », dit-il.
Le manque de transparence logicielle, l’obsolescence des produits et la dépendance à des pièces tierces rendent le processus incertain. Mettre à jour un système embarqué implique parfois un passage en concession, ce que peu de clients anticipent. Résultat : de nombreux équipements restent vulnérables bien après la découverte d’une faille.
La sécurité Bluetooth reste une course contre la montre
PerfektBlue montre que même une simple connexion sans fil peut exposer une surface d’attaque insoupçonnée. Les voitures connectées sont pratiques, mais une faille de sécurité Bluetooth peut tout faire déraper d’un coup. Reste à savoir si les correctifs arriveront à temps pour tous les appareils concernés.
