300 secondes chrono : prise de contrôle d’un infodivertissement automobile à distance — Guillaume Bouffard, Philippe Trebuchet
Date : 04 juin 2025 à 16:45 — 30 min.
Les véhicules connectés intègrent de nombreuses technologies de communications sans-fil à distance, comme celles exploitant les protocoles Bluetooth ou WiFi. Si le gain en confort d’utilisation et d’interaction est notable, la mise à disposition de ce type d’interfaces augmente les risques en matière de cybersécurité.
Dans cet article, nous analysons l’implémentation de la pile Bluetooth embarquée dans le système d’infodivertissement d’un véhicule du début des années 2020. En particulier, et malgré la mise en place de mesures de sécurité, de défense en profondeur et des mises à jour, une vulnérabilité a pu être exploitée. Elle permet à un attaquant distant, sans authentification et sans interaction avec les passagers, de prendre le contrôle du système d’infodivertissement en exécutant un code arbitraire. Ce code peut, entre autres, générer des commandes CAN à la volée ayant une influence directe sur le comportement et la sécurité du véhicule ciblé. Les répercussions potentielles sont donc extrêmement sérieuses.
Cette vulnérabilité, corrigée après notification, souligne l’importance d’une vigilance continue face aux risques de sécurité dans les véhicules connectés.