Dévoilée en mai 2024, une faille baptisée PerfektBlue compromet gravement la sécurité de nombreux véhicules récents équipés du logiciel BlueSDK, développé par OpenSynergy. Quatre vulnérabilités critiques exposent l’infodivertissement — et potentiellement bien plus — à une intrusion à distance via Bluetooth. En clair, il suffit que le Bluetooth du véhicule soit en mode appairage pour que l’attaque puisse démarrer.
La voiture de demain ressemble de plus en plus à un ordinateur… avec ses failles. Des marques prestigieuses comme Mercedes-Benz, Volkswagen ou Skoda sont directement concernées, comme le rapporte Siècle Digital. En combinant les failles, un pirate situé à proximité immédiate pourrait non seulement accéder à l’historique des trajets, au répertoire du téléphone, ou écouter des conversations, mais aussi — dans le pire des cas — atteindre le bus CAN, cœur numérique du véhicule. Ce scénario, quoique techniquement exigeant, n’a rien de théorique : « Les prérequis techniques freinent les attaques opportunistes, mais n’éliminent pas le risque », admet Volkswagen.
OpenSynergy a bien publié un correctif dès septembre 2024. Mais dans l’automobile, une mise à jour n’est pas aussi simple qu’un clic sur un smartphone. La majorité des voitures doivent être branchées en atelier, sans quoi elles demeurent vulnérables. Autrement dit, une grande partie du parc roulant reste exposée, des mois après l’alerte initiale.
L’automobile se numérisant de plus en plus, il faudra nécessairement faire face aux failles logicielles très rapidement, car elles pourraient devenir aussi dangereuses qu’un défaut de freinage.
