Qui a conscience du danger qu’il y a à déposer ses clés de voiture sur le meuble d’entrée ? Ce réflexe malheureux fait pourtant le bonheur des voleurs nouvelle génération, des logiciels spécialisés leur permettant de copier le signal des clés sans contact. « Il leur suffit de rester à proximité des pavillons avec leur équipement le temps d’enregistrer ce signal, puis de le relayer vers la voiture pour l’ouvrir », détaille Nicolas Arpagian, directeur de la stratégie en cybersécurité de Trend Micro. Simple et discret, ce type de piratage fait des émules. « En France, des milliers de véhicules ont ainsi été dérobés, et ce chiffre est en hausse », souligne le colonel Nicolas Duvinage à l’occasion du Forum international de la cybersécurité (FIC), la grand-messe qui, chaque année pendant trois jours, rassemble les meilleurs spécialistes et dont L’Express est partenaire. 

Mais ce n’est qu’un avant-goût des menaces cyber auxquelles font face, désormais, les voitures. De plus en plus connectées, celles-ci sont devenues de véritables « ordinateurs sur roues », ce qui, fatalement, les expose aux piratages. Est-ce à dire qu’il faut redouter le scénario catastrophe d’une voiture dont un hacker aurait pris le contrôle pour l’envoyer dans le décor ? La réalité est (heureusement) plus prosaïque. « En général, les malfaiteurs cherchent uniquement à s’introduire dans le véhicule puis à s’enfuir avec », rassure Nicolas Arpagian. 

Le problème est que de nouvelles failles sont détectées chaque mois. « Entre 2020 et 2021, on en a recensé plus de 100 dans le secteur de l’automobile », précise Ivan Fontarensky, responsable technique cyberdéfense et threat intelligence chez Thales. En janvier dernier, un hacker de 19 ans, David Colombo, a réussi à accéder à certaines commandes de 25 Tesla (ouverture des portes, géolocalisation, etc.) grâce à une vulnérabilité de TeslaMate, un outil indépendant du constructeur mais que beaucoup des acheteurs utilisent. Elon Musk a aussi eu affaire aux pirates qui débloquent, à votre barbe, vos options payantes. Le site canadien Ingenext propose par exemple à ses clients de déverrouiller l’option Boost de l’accélération des Model 3 Dual Motors pour 1000 $… soit deux fois moins que le prix affiché par Tesla. 

Derniers scénarios qui inquiètent les experts : le vol de données personnelles (trajets, etc.) ou l’attaque cyber incontrôlable. En 2017, le rançongiciel NotPetya a d’abord ciblé l’Ukraine, puis, grâce à ses performances, s’est propagé dans les appareils d’entreprises du monde entier. Face à ces menaces, les constructeurs fourbissent leurs armes. « Des experts indépendants de la cybersécurité et de la communauté scientifique nous aident à former nos équipes en continu », nous indique Volkswagen. Une nouvelle réglementation va bientôt contraindre le secteur à contrôler ces risques. « Il est possible que, dans un avenir proche, les modèles soient soumis à des crash-tests cyber », illustre le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques.  

Pour éviter les mauvaises surprises, la règle d’or est d’anticiper les risques dès la conception. « Il faut traquer les vulnérabilités qui pourraient être exploitées et cloisonner les applications, de sorte qu’elles ne puissent se contaminer », explique Thomas Cardon, directeur commercial de BlackBerry QNX. Les failles repérées a posteriori sont en effet un cauchemar pour les constructeurs. En 2015, Fiat Chrysler dut rappeler 1,4 million de voitures après que des chercheurs eurent découvert une faille permettant de contrôler les freins et le moteur d’un de ses modèles. C’est pour cette raison que Stellantis soumet ses futurs produits à des simulations d’intrusion « en interne et par des cabinets spécialisés », confie Olivier Doit, son responsable de la sécurité des systèmes d’information. 

Les pros de l’auto peaufinent également leurs systèmes de détection de comportements anormaux et réfléchissent à des options de « kill switch« , pour rendre les voitures volées inutilisables. Depuis qu’Apple a intégré l’une d’elles à ses smartphones, les vols d’iPhone ont vu leur nombre baisser drastiquement. La maintenance des véhicules devra donc être totalement repensée. Les constructeurs capables de corriger efficacement leurs produits à distance (via ce qu’on appelle des mises à jour « Over-the-Air » ou OTA) se distingueront des autres. « Il sera également crucial de former les garagistes à la cybersécurité », pointe Ivan Fontarensky. Reste à voir à quelle vitesse ces protections seront bâties. La cybersécurité est une vraie terra incognita pour les constructeurs automobiles, et « certains renâclent à s’y mettre », se désole un expert. Le risque de piratage des clés sans contact est ainsi connu depuis des années. Sur 501 modèles testés par l’association Adac en 2022, le pourcentage de ceux vendus avec des clés vulnérables caracolait toujours, hélas, à un écrasant 95%.