Guide des technologies

Les smartphones peuvent pirater des voitures japonaises (vidéo)

6 min read Cybersécurité Mis à jour 10 Oct 2025
Smartphones piratent des voitures japonaises
Smartphones piratent des voitures japonaises

Tableau de bord d'une voiture affichant une vitesse erronée simulée

Résumé de l’expérience

Un professeur associé de la Graduate School of Information Sciences de Hiroshima City University a mené une expérience pour évaluer la sécurité des systèmes embarqués quand on ajoute un périphérique connecté à Internet. Il a utilisé :

  • une Toyota Corolla Fielder Hybrid de 2013,
  • un module Wi‑Fi assemblé avec des composants commerciaux coûtant environ 10 000 yens (≈83 USD),
  • une application smartphone développée pour l’étude.

En branchant le module sur une prise de diagnostic interne, le chercheur a pu accéder à des données non chiffrées du calculateur qui pilote moteur, freins et autres fonctions. Il a ainsi ouvert et fermé les vitres à distance, affiché 180 km/h sur le compteur alors que la voiture était à l’arrêt, et provoqué une paralysie des commandes en saturant l’unité avec du trafic, comme dans une attaque par déni de service distribué.

Comment le piratage fonctionne

  1. Un module Wi‑Fi est physiquement connecté à une prise interne d’accès au véhicule. Cette prise sert normalement à attacher des outils de maintenance.
  2. Le module rend les données et certaines commandes accessibles via réseau sans chiffrement.
  3. Une application smartphone envoie des commandes ou des flux de données pour lire, falsifier ou submerger le calculateur.

Définition courte : un calculateur embarqué est un ordinateur dédié qui gère un sous‑ensemble de fonctions de la voiture, par exemple moteur ou freinage.

Ce qui a été observé

  • Affichage erroné du compteur : 180 km/h alors que la voiture était immobile.
  • Commandes physiques altérées : vitres ouvertes/fermées à distance.
  • Paralysie partielle : saturation du calculateur suite à une très forte charge réseau, rendant impossible l’accélération même si le moteur tourne.
  • Le moteur et la direction n’ont pas été démarrés ou déplacés directement par la manœuvre selon le chercheur.

Important: selon l’auteur, les voitures vendues en l’état par les constructeurs et sans accès direct à Internet ne sont pas exposées de la même façon. Le risque principal concerne les véhicules modifiés avec des modules connectés ou des appareils qui ouvrent un accès réseau au réseau CAN ou au bus du véhicule.

Limites et contre‑exemples

  • Véhicules modernes blindés : les constructeurs qui segmentent et chiffrent les réseaux internes réduisent le risque d’escalade depuis une prise tierce.
  • Accès physique requis : l’attaque décrite nécessite une connexion matérielle sur une prise interne souvent inacessible sans démontage ou sans modification volontaire.
  • Systèmes isolés : si les calculateurs critiques ne communiquent pas avec un module connecté, ils restent protégés.
  • Correctifs déjà appliqués : certains modèles récents intègrent des protections et des mises à jour OTA peuvent corriger ces failles.

Mesures recommandées (rôles et checklist)

Constructeurs

  • Chiffrer la communication interne entre calculateurs.
  • Segmenter réseaux CAN et isoler les unités critiques.
  • Valider et signer les firmwares et mises à jour.
  • Fournir des points d’accès pour maintenance séparés du réseau opérationnel.

Ateliers et garagistes

  • Ne pas installer de modules connectés non certifiés.
  • Documenter toute modification physique au véhicule et avertir le propriétaire des risques.
  • Utiliser des outils de diagnostic conformes aux spécifications du constructeur.

Propriétaires et conducteurs

  • Éviter les dispositifs Wi‑Fi OBD/diagnostics d’origine inconnue.
  • Demander que toute modification de connectivité soit réalisée par un réseau officiel ou un professionnel agréé.
  • Garder un registre des interventions et signaler tout comportement suspect au constructeur.

Stratégies techniques pour durcir la sécurité

  • Chiffrement end‑to‑end des messages CAN sensibles.
  • Authentification mutuelle entre modules et calculateurs.
  • Moniteurs de trafic embarqué avec détection d’anomalies et limitation de débit pour prévenir les attaques par saturation.
  • Journaux immuables pour audit post‑incident et télé‑télémétrie sécurisée pour mises à jour et alertes.

Fiche pratique — chiffres et éléments clés

  • Coût du module utilisé dans l’expérience : environ 10 000 yens (≈83 USD).
  • Modèle testé : Toyota Corolla Fielder Hybrid, année 2013.
  • Type d’attaque observée : accès aux données en clair et déni de service par saturation.

Glossaire d’une ligne

  • CAN : bus de communication standard entre calculateurs automobiles.
  • DDoS : attaque de saturation visant à rendre un service indisponible.
  • OBD : prise de diagnostic à bord, souvent utilisée pour maintenance.

Scénarios d’échec de l’attaque

  • Si la prise de diagnostic ne donne accès qu’à des données chiffrées ou à des fonctions non critiques, l’impact tombe à néant.
  • Si le réseau embarqué intègre des limites de débit et des gardes‑fous, une saturation malveillante sera détectée et atténuée.

Ce que les autorités et l’industrie peuvent faire

  • Publier des normes minimales de chiffrement et d’authentification pour les dispositifs connectés.
  • Créer des listes blanches d’accessoires et des programmes de certification pour modules tiers.
  • Renforcer la formation des ateliers pour reconnaître et refuser les installations à risque.

Important: la coopération entre constructeurs, régulateurs et professionnels est indispensable pour que les protections deviennent la norme sans nuire à l’innovation dans les véhicules autonomes et connectés.

Conclusion

L’expérience met en lumière une voie d’attaque réaliste quand des appareils connectés sont ajoutés au réseau interne d’un véhicule sans protections suffisantes. Les risques sont surtout liés aux véhicules modifiés ou aux accessoires tiers non sécurisés. Une combinaison de chiffrement, de segmentation réseau et de bonnes pratiques dans les ateliers réduit fortement l’exposition. Les conducteurs doivent rester vigilants face aux accessoires non certifiés et signaler toute anomalie au constructeur ou à un professionnel agréé.

Résumé final

  • Un module Wi‑Fi à bas coût peut rendre des données embarquées accessibles.
  • Les véhicules d’usine sans accès Internet direct sont moins exposés.
  • Chiffrement, segmentation et authentification sont les mesures clés.

Check the video below.

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Résoudre Snipping Tool cassé sous Windows 11
Windows

Résoudre Snipping Tool cassé sous Windows 11

Supprimer des photos iPhone sans les effacer d’iCloud
iPhone

Supprimer des photos iPhone sans les effacer d’iCloud

Intégrer SFTP dans l'Explorateur Windows
Tutoriel SFTP

Intégrer SFTP dans l'Explorateur Windows

Migrer photos Facebook vers Google+ avec Move2Picasa
Guides

Migrer photos Facebook vers Google+ avec Move2Picasa

Comment télécharger des films et séries Netflix pour regarder hors ligne
Streaming

Comment télécharger des films et séries Netflix pour regarder hors ligne

RAID1 : préparer /dev/sda et GRUB
Administration

RAID1 : préparer /dev/sda et GRUB