Cybersécurité automobile : le français Mobile Devices répond à la polémique

Dans un article du 11 août, Wired rapporte que des chercheurs de l'Université de Californie à San Diego ont découvert une nouvelle vulnérabilité touchant les véhicules connectés. La compromission provient cette fois-ci de dongles (catégorie d'appareils type "clés USB") de diagnostic embarqué (OBD2) utilisés par divers acteurs de l'industrie automobile pour recueillir des informations sur des flottes de véhicules.

Les chercheurs expliquent avoir acquis plusieurs dongles auprès de Metromile, une start-up basée à San Francisco qui fournit des services d'assurance payable au kilomètre roulé, et les avoir analysé à la recherche de failles de sécurité. Ils en ont découvert plusieurs qui leur ont permis, à l'aide d'un simple SMS, d'activer ou de désactiver des fonctions d'une Corvette 2013 : clignotants ou essuie-glaces, mais aussi les freins (voir la vidéo ci-dessus). Un problème sérieux considérant que Metromile fournit des dizaines de milliers de véhicules aux Etats-Unis, notamment ceux d'Uber.

Une technologie française

L'article de Wired précise aussi que Metromile n'est que le distributeur de ces dongles, qui sont en fait fabriqués par la start-up française Mobile Devices. L'Usine Digitale a contacté son PDG et fondateur, Aaron Solomon, pour obtenir plus de détails sur cette affaire.

Car un détail mentionné par les chercheurs attire l'attention : les dongles concernés étaient en "mode développeur". Un détail que confirme M. Solomon : "Mobile Devices fournit des outils pour intégrateurs et développeurs d'applications. Ils sont à ce titre très ouverts, pour permettre un maximum d'expérimentions, faire de la R&D et tester des concepts."

Il insiste aussi sur l'importance que porte Mobile Devices à la sécurité, et surtout sur la superficialité des découvertes citées. "Les problématiques de sécurité sont très vastes, cela va beaucoup plus loin qu'un simple SMS. En mode développeur, nos produits n'implémentent logiquement pas de mesures de sécurité", explique t-il.

Du développement à la production

Lorsqu'une application est finalisée, les appareils peuvent alors passer en "mode production", qui verrouille les accès (emails, SMS, USB, etc.). "Jusqu'à présent, nous laissions le choix aux intégrateurs d'activer le mode production lorsqu'ils le souhaitaient, explique Aaron Solomon. Habituellement cela se fait progressivement, le passage du développement à la production n'est pas instantané, il y a des phases de test avancées."

En réponse à cette affaire, Mobile Devices a développé un patch qu'il a communiqué à ses clients. Les véhicules Metromile, par exemple, ne sont plus vulnérables. Aaron Solomon explique que l'intégralité des clients seront couverts d'ici fin août. Pour éviter ce type de situations à l'avenir, Mobile Devices va également mettre en place un passage en mode production automatisé suivant la taille des flottes de véhicules équipés. "Ce système sécurisera les véhicules dès que leur nombre dépassera une certaine limite, et il y aura une décharge que signeront les intégrateurs leur expliquant les risques encourus s'ils passent outre," déclare le PDG.

Un marché amené à grandir

Au final, Aaron Solomon ne se dit pas inquiété par cette affaire, qui fait parler de cet acteur peu connu de l'industrie auto. Le dirigeant a fondé Mobile Devices en 2002 avec trois autres ingénieurs venus des industries automobiles et télécoms, sur le constat qu'il n'existait pas (et n'existe toujours pas) de standard pour les véhicules connectés. S'ils travaillent principalement à l'international, ils fournissent tout de même près de 5000 taxis français depuis 2004, et leur technologie se retrouve entre autres dans les produits Coyote Nav ou dans la clé 3G utilisée par PSA avec les Peugeot Connect Apps (pour 208, 308, Picasso...).

En plus des secteurs de l'assurance et des taxis, ils sont aussi très présent dans celui des poids lourds et des bennes à ordures. Leurs clients inclus Sita, Antargaz ou encore Michelin, qui utilise leurs produits pour faire de la R&D. Mobile Devices a depuis sa création vendu plus d'un million de terminaux, et estime son chiffre d'affaires sur 2015 à 15 millions d'euros, notamment grâce à un contrat avec un grand constructeur américain dont l'annonce sera faite prochainement.