300 secondes chrono : prise de contrôle d’un infodivertissement automobile à distance — Guillaume Bouffard, Philippe Trebuchet
Date : 04 juin 2025 à 16:45 — 30 min.
Les véhicules connectés intègrent de nombreuses technologies de communication sans-fil à distance, comme celles exploitant les protocoles Bluetooth ou WiFi. Si le gain en confort d’utilisation et d’interaction est notable, la mise à disposition de ce type d’interfaces augmente les risques de cybersécurité.
Dans cet article, nous analysons l’implémentation de la pile Bluetooth embarquée dans le système d’infodivertissement dans un véhicule du début des années 2020. Malgré la mise en place de mesures de sécurité et de défense en profondeur et des mises à jour, une vulnérabilité a été exploitée, permettant à un attaquant distant, sans authentification et sans interaction avec les passagers, de prendre le contrôle du système d’infodivertissement en exécutant un code arbitraire. Ce code peut, entre autres, générer des commandes CAN à la volée ayant une influence directe sur le comportement et la sécurité du véhicule ciblé. Les répercutions potentielles sont donc extrêmement sérieuses.
Cette vulnérabilité, corrigée après notification, souligne l’importance d’une vigilance continue face aux risques de sécurité dans les véhicules connectés.