Le piratage automobile n’est pas de la science-fiction : les voitures modernes sont des ordinateurs sur roues. Des chercheurs ont montré qu’un accès à l’infotainment, à un dongle OBD ou au cloud d’un constructeur peut conduire à des compromissions graves.

Les principales surfaces d’attaque

  1. Bus internes (CAN, LIN, FlexRay)
    Ces réseaux relient les différents calculateurs du véhicule (moteur, freinage, confort, etc.). Historiquement, ils n’intègrent aucune authentification ni chiffrement. Un message falsifié sur le bus peut donc déclencher une action imprévue.
  2. Port OBD-II et dongles connectés
    Outil indispensable pour le diagnostic, le port OBD devient un point d’entrée critique lorsqu’il reste branché à des dongles Bluetooth ou 4G. Plusieurs attaques démontrées utilisent ce canal pour injecter des commandes malveillantes.
  3. Systèmes d’infotainment
    Les interfaces multimédia connectées (Android Auto, Apple CarPlay, Wi-Fi, USB) sont fréquemment exposées. Une vulnérabilité logicielle peut permettre de passer du système d’infotainment au réseau interne du véhicule.
  4. Plateformes cloud et API constructeur
    Les services de localisation, de démarrage à distance ou de télématique passent par des serveurs. Des failles dans ces API ont déjà permis à des chercheurs d’accéder à des véhicules à distance ou d’obtenir des données clients.
  5. Systèmes keyless et signaux RF
    Les attaques par relais de signal permettent d’ouvrir et démarrer un véhicule sans la clé physique, en “prolongeant” le signal radio jusqu’à la voiture.

Exemples réels de piratage automobile

  • Jeep Cherokee (2015) : deux chercheurs ont réussi à prendre le contrôle du véhicule via la connexion 4G de l’unité multimédia, forçant Chrysler à rappeler 1,4 million de voitures.
  • Tesla (plusieurs éditions de Pwn2Own) : des chercheurs ont démontré des attaques sur l’infotainment, rapidement corrigées par le constructeur.
  • Kia et Hyundai (2024) : vulnérabilités découvertes dans les portails web et les applications mobiles, permettant d’interagir à distance avec des véhicules.

Ces cas ont servi d’électrochoc pour l’industrie, qui a commencé à intégrer des processus de sécurité plus stricts.

Pourquoi les voitures sont vulnérables

Le cœur du problème, c’est l’héritage.
Les protocoles embarqués ont été conçus à une époque où les véhicules n’étaient pas connectés à Internet. Aujourd’hui, les constructeurs ajoutent des couches de connectivité, souvent sans refondre entièrement les bases.
S’ajoute à cela une chaîne d’approvisionnement complexe : fournisseurs de modules, prestataires cloud, sous-traitants logiciels… autant d’acteurs et de failles potentielles.

Normes et réglementation

Deux cadres dominent désormais le secteur :

  • ISO/SAE 21434 : définit les exigences de cybersécurité tout au long du cycle de vie du véhicule — conception, développement, maintenance.
  • UNECE WP.29 (R155 / R156) : rend obligatoire un Cyber Security Management System et un processus sécurisé de mises à jour logicielles pour tous les véhicules neufs vendus en Europe.

Ces textes imposent une approche continue de la sécurité, proche de ce qu’on trouve dans l’industrie IT.

Comment se protéger du piratage automobile

Pour les particuliers

  • Effectuer systématiquement les mises à jour constructeur (firmware ou OTA).
  • Désactiver Bluetooth et Wi-Fi lorsqu’ils ne sont pas utilisés.
  • Éviter les dongles OBD grand public non vérifiés.
  • Ne jamais connecter de clés USB inconnues au véhicule.
  • Protéger les comptes cloud associés à l’application mobile du véhicule avec un mot de passe fort et, si possible, une double authentification.
  • En cas de comportement anormal (voyants, redémarrages étranges), faire diagnostiquer le véhicule.

Pour les entreprises et flottes

  • Mettre en place une segmentation réseau entre les différents systèmes embarqués.
  • Utiliser des firmwares signés et une chaîne de démarrage sécurisée.
  • Surveiller les communications CAN à l’aide d’un IDS embarqué.
  • Intégrer la cybersécurité dans le cycle de développement (SDLC).
  • Exiger des fournisseurs un SBOM (Software Bill of Materials) et des audits réguliers.

Le piratage automobile : une question de temps, pas de possibilité

Aucune marque n’est totalement à l’abri. La différence se fait sur la rapidité de correction, la transparence et la capacité à intégrer la sécurité dès la conception.
Les constructeurs qui adoptent une démarche proactive — bug bounty, audits indépendants, architecture segmentée — limitent fortement les risques. Ceux qui traînent des pieds s’exposent à des rappels coûteux et à des pertes d’image.

Checklist rapide : 7 réflexes pour réduire le risque

  1. Installer les mises à jour OTA dès qu’elles sont disponibles.
  2. Ne jamais laisser un dongle branché en permanence.
  3. Couper les connexions inutiles.
  4. Protéger les comptes liés au véhicule (mot de passe fort).
  5. Lire les bulletins de sécurité du constructeur.
  6. Faire vérifier tout ajout électronique (alarme, boîtier GPS).
  7. Sensibiliser les utilisateurs (famille, employés) aux risques.

Conclusion

Le piratage automobile n’est pas réservé aux films. Il s’agit d’un risque concret, en pleine croissance, que les constructeurs et les utilisateurs doivent prendre au sérieux.
Les véhicules deviennent des cibles à part entière dans l’écosystème numérique. La bonne nouvelle, c’est que la plupart des attaques connues reposent sur des négligences simples à éviter : mises à jour, restrictions d’accès, et bon sens.