La faille de sécurité est tellement grosse qu’on se demande bien comment elle a pu échapper à la vigilance des développeurs de Nissan. Troy Hunt, chercheur en sécurité travaille avec ses élèves sur la sécurité des objets connectés, véritable mode actuelle. La Nissan Leaf est connectée pour pouvoir piloter le chauffage à distance, connaître l’état de charge de la batterie, etc. Chaque Leaf est identifiée par un numéro unique, le VIN. Sauf que dans beaucoup de cas, le VIN est visible de l’extérieur de la voiture et surtout que les VIN ne varient pour le moment que sur quelques chiffres !
Une fois connecté, le hacker peut, selon Hunt, modifier les paramètres de chauffage et ce faisant peut drainer la batterie en laissant la pompe à chaleur allumé des heures durant (si la voiture n’est pas branchée) mais surtout il peut accéder aux données du GPS par exemple et donc suivre les déplacements passés, etc. Le tout se faisant à distance, un hacker aux antipodes peut manipuler la voiture. Hunt souligne tout de même qu’on ne peut pas démarrer, arrêter la voiture, l’ouvrir à distance (les fonctionnalités n’étant pas prévues).
On se souviendra qu’un précédent piratage, sur un véhicule Jeep, permettait d’accélérer, freiner, contrôler le volant à distance compromettant sérieusement la sécurité des occupants. Cela jette un mauvais éclairage sur ces technologies de plus en plus proposées par les constructeurs (il y a quelques jours Volvo présentait son ouverture sans clé via téléphone).
« Nissan est conscient d’un problème de données lié à l’application NissanConnect EV (…). Cela n’a cependant pas d’effet sur la sécurité de la voiture ou son fonctionnement. Nos équipes ‘produit et technologie globale’ travaillent actuellement sur une solution définitive » déclare un porte-parole du constructeur.
Ce n’est pas le premier piratage d’un véhicule connecté et ce n’est évidemment pas le dernier. Tout est un subtile dosage entre le risque pris en offrant une porte d’entrée potentielle et les fonctionnalités supplémentaires apportées aux propriétaires des véhicules.
Source : Troy Hunt via The Guardian, illustration : Nissan