Cette semaine, l'agence Reuter publiait une histoire assez terrifiante. Des chercheurs, incluant ceux de la division «sécurité» chez Intel, se sont dits d'avis qu'il était possible d'intervenir à des fins criminelles dans les ressources informatiques d'une automobile. On parle de dispositifs, de code malveillant ou de manipulations qui permettraient, par exemple, le déverrouillage et le démarrage d'un véhicule à des fins de vol, l'injection d'un virus à des fins d'espionnage ou, comble de l'horreur, le bidouillage à distance à des fins d'accident potentiellement mortel.
Pour bon nombre d'experts, les voitures modernes dépendent d'un assemblage de capteurs, de contrôleurs, d'interfaces de connexion, de petits systèmes embarqués, etc., des gugusses Bluetooth, WiFi, filaires dont le nombre ne fait qu'augmenter. En ce sens, le bon vieux « char » est devenu un réseau local sur roues où des douzaines de bricoles parfois hybrides se raccordent pour contribuer au fonctionnement optimal du véhicule.
Systèmes embarqués ? Citons mes amis de Sciencetech: «Contrairement aux ordinateurs, il s'agit d'une informatique cachée, basée sur des microprocesseurs à faible consommation d'énergie qui s'installent dans les voitures pour déclencher les coussins gonflables ou les freins ABS, dans les drones qui survolent les zones dangereuses ou même dans le béton des routes ou des ponts pour indiquer l'état du matériau. Bref, on trouve ces systèmes informatiques un peu partout. Demain, on ne pourra plus rien fabriquer qui ne contienne un de ces systèmes que l'on dit « embarqué ». Pourquoi « embarqué » ? Tout simplement parce que le système est enfoui au sein du produit final. On ne vend pas un système embarqué, on vend une voiture qui contient des systèmes embarqués. Si elle n'en contient pas, on ne l'achète pas. Il en est de même avec de plus en plus d'objets : téléphone cellulaire, appareils électroménagers, consoles de jeu, etc. Demain, toutes les entreprises qui produisent des objets devront y injecter de l'intelligence - ou disparaître.»
Pour revenir à l'automobile, ce genre de dispositifs ne s'intéresse pas qu'au moteur. Ils sont légion dans les systèmes de freinage, de navigation, d'éclairage, de climatisation et de divertissement. Et, cela va de soi, qui dit bidules variés, assortis, embarqués, boulonnés, soudés, alouette, dit problème potentiel de sécurité. Chaque raccordement implique une porte d'entrée plus ou moins sécuritaire par où des malfaiteurs peuvent s'introduire. « Il y a des tonnes de possibilités pour attaquer le système informatique d'un véhicule » admet l'expert en sécurité automobile Stuart McClure, ex-responsable de la technologie chez McAfee.
Et il y en aura de plus en plus puisque l'industrie, dans le but de plaire davantage aux consommateurs, fait des pieds et des mains pour faciliter le raccordement des dispositifs de l'automobile au réseau Internet et à ses services (données infonuagiques, musique, films, etc.). Moi-même je vous vantais plus tôt cette semaine le système audio de ma nouvelle voiture. Ce faisant, les manufacturiers rendent la voiture plus vulnérable que jamais. Le pire, c'est que la plupart n'ont aucune idée de l'impasse vers laquelle ils cheminent.
Des chercheurs du Center for Automotive Embedded Systems Security (Un. of California et Un. of Washington) ont réussi à créer un virus assez spectaculaire pouvant être injecté dans le système automobile par le lecteur de CD. Par exemple «Self Destruct» active un compteur à rebours sur le tableau de bord. Rendu à zéro, le virus éteint toutes les lumières de l'auto, verrouille les portières, éteint le moteur et relâche les freins. D'autres tests d'infestation virale ont permis de capter et enregistrer des conversations.
Pour l'instant, les fabricants automobiles se disent préoccupés par la question, mais refusent d'admettre que des incidents liés à ce type de criminalité aient pu survenir. Pour tout dire, on ne sait pas grand-chose sur ce qu'ils savent.
Le plus inquiétant est de constater l'invasion exponentielle de cet attirail dit intelligent partout dans nos vies : outils médicaux, systèmes domotiques, contrôleurs de débit (eau, gaz, électricité), réseaux WiFi ou WAN, etc. Partout, tout le temps, de plus en plus, des accès au truandage à grand T, des portes parfois grandes ouvertes, nous entourent, invisibles.
De temps à autre, un cas spectaculaire de cybercriminalité est titré dans nos médias, question de nous rappeler qu'effectivement, il y a des bandits à pied d'œuvre dans le très vaste domaine de l'informatique. Ainsi, on sait que ça existe, on s'attend à ce que ça devienne invivable.
Pourtant on se chasse ces idées épouvantables de la tête. Expérience à l'appui, quand, d'aventure, j'en parle lors de soirées mondaines, j'ennuie généralement les gens. C'est que pour pouvoir continuer à ronronner de bonheur chez Costco, Wal-Mart ou Tim Horton, la plupart préfèrent s'enfouir la tête bien creuse dans le sable. Dormez tranquilles, braves gens, l'industrie veille. Soyez assurés que tout va pour le mieux dans le meilleur des mondes.
Quelques petites vites :
Connaissez-vous Hypios.com ? Ce n'était pas mon cas avant que je ne reçoive un courriel de la part de cette firme spécialisée en résolution de problèmes. À première vue, j'ai cru à un canular et j'ai commencé à me préparer pour vous en parler. Je vous cite les deux premiers paragraphes (incluant les fautes) pour que vous compreniez ma méfiance : « Hypios, une entreprise basée à Paris, est au service d'entreprises cherchant des solutions à des problèmes de R&D ou de veille. Pour des raisons quelconques, ils ne peuvent pas se permettre de les résoudre seul, ce qui explique pourquoi je fais appel à vous. (...) En recherchant d'éventuels experts pour répondre à l'un des problèmes, je suis tombée votre blog, http://www.nelsondumais.com/, que je trouve très intéressant. Étant donné votre fort intérêt pour les nouvelles technologies, et notamment par les technologies mobiles, j'ai pensé que vous pourriez être intéressé par notre problème, ou bien connaître une personne de votre entourage qui le serait. ». Pour avoir une meilleure idée, cliquez sur ce lien, vous arriverez à divers problèmes sur la résolution desquels il vous est possible de soumissionner. Le budget afférent est même indiqué. Il y a bien de tout sur Internet !
MichelC, un visiteur régulier de mon blogue, entend rappeler à notre attention une commande méconnue de Windows NT, Vista, 7 et Server 2008, Robocopy. Accessible seulement en mode terminal (console), cet utilitaire permet de bien gérer la sauvegarde de ses données, notamment sur un disque externe. « Robocopy est une commande obscure et très puissante de Windows qui, nous écrit MichelC, gagnerait à être connue, parce qu'elle vaut à elle seule la plupart des utilitaires de sauvegarde. C'est gratuit et ça ne prend pas d'espace disque. Au départ, on rame un peu pour établir les paramètres, mais par la suite, tout se fait tout seul. La ligne de commande ne devrait pas effrayer ceux ayant fait leurs premières armes sous MS-DOS. » En retour pour son information, notre correspondant nous pose une question pour laquelle il n'a pas encore trouvé de réponse : « Existe-t-il sous Windows une manière simple d'effectuer une copie de son disque dur sur un lecteur externe USB, et qui permette de démarrer son ordinateur à partir de celui-ci, et de continuer à travailler comme si de rien n'était, en cas de bris du disque interne? Une fois le disque fautif remplacé, il s'agirait d'effectuer la copie inverse et de redémarrer son système (une manière de RAID, en quelque sorte)