Black Hat USA 2025 : « evilDoggie », l'appareil argentin qui teste la sécurité des voitures modernes
Deux hackers argentins ont présenté « evilDoggie », un dispositif permettant de tester la sécurité des systèmes informatiques embarqués dans les voitures, jeudi, lors du deuxième jour de Black Hat , l'une des plus grandes conférences mondiales sur la cybersécurité. Octavio Gianatempo et Gastón Aznarez, de Faraday Security, ont montré comment identifier les failles de sécurité de certaines marques automobiles grâce à cet outil.
Le nom de l'outil est un jeu de mots avec le protocole « CAN » (abréviation de Controller Area Network), qui est une norme de communication interne utilisée par les voitures modernes pour permettre à divers ordinateurs internes (tels que ceux qui contrôlent le moteur ou les freins) de communiquer entre eux.
Lors de la présentation dans l'« Arsenal » de la conférence, un espace où sont exposés programmes et matériels divers, les chercheurs ont montré comment utiliser l'outil, qui comprend même un commutateur permettant de passer de sa version de surveillance (Doggie) à sa version « malveillante », utilisée pour attaquer ce protocole. Ils ont également animé un atelier pour que les participants puissent se familiariser avec son utilisation.
Cette recherche s'inscrit dans le cadre du « piratage automobile », l'un des thèmes les plus populaires des conférences sur la cybersécurité. « Le piratage automobile se concentre sur les connaissances existantes en cybersécurité, mais les applique aux réseaux utilisés par les voitures. Ces dernières années, les véhicules sont devenus plus intelligents et cohabitent avec les systèmes électroniques. Pour paraphraser Elon Musk, ce sont des « ordinateurs sur roues » », a expliqué Faraday Security à ce média.
« Tous ces réseaux sont propriétaires ; ils ne sont pas conçus dans un souci de transparence. C'est là qu'intervient le rôle des experts en sécurité : comprendre le fonctionnement de ces technologies et les risques qu'elles présentent », ont-ils ajouté.
Le commutateur « bon/mauvais » pour passer en mode attaque. Photo : Juan Brodersen
Les recherches de l'entreprise ont débuté par une exploration de la sécurité automobile . « Au début de nos recherches, nous avons réalisé que nous aurions besoin d'un outil pour communiquer avec les ordinateurs de bord. Mais nous avons constaté qu'il n'existait pas d'option ouverte et performante en Argentine. Gastón a eu l'idée de développer cet outil avec une conception modulaire pour son micrologiciel et son matériel, afin que chacun puisse construire le sien avec les composants disponibles, et même développer d'autres versions », a expliqué à Clarín Octavio Gianatiempo, chercheur de l'entreprise.
Gastón Aznarez explique comment le projet s'est orienté vers la sécurité offensive , une branche de la cybersécurité dédiée à l'attaque des systèmes pour identifier les vulnérabilités et, à terme, les corriger. « Le premier outil était Doggie, mais l'idée a évolué et nous avons ajouté des fonctionnalités offensives, donnant ainsi naissance à evilDoggie, axé sur la recherche permettant de mener des attaques avancées sur les communications CAN, tant au niveau du protocole que physique, en interférant avec le circuit au niveau électrique », explique-t-il.
« Les fonctionnalités Doggie et les attaques malveillantes de type « Doggie » peuvent être utilisées pour perturber la communication entre les calculateurs d'une voiture et créer des situations inattendues. Aujourd'hui, les voitures sont équipées de plusieurs ordinateurs, qui contrôlent la quasi-totalité de leurs fonctions via des communications CAN. Bien que les voitures modernes intègrent des mesures de sécurité à ces communications, il existe des cas connus où ce type d'attaque peut avoir un impact réel », a ajouté le pirate.
« evilDoggie » n'est pas le premier appareil capable de tester la sécurité d'une voiture. En effet, le « Flipper Zero », surnommé le « couteau suisse du piratage », a été présenté dans plusieurs vidéos virales montrant comment ouvrir une portière de voiture sans clé. En effet, cet appareil utilise des protocoles sans fil différents de ceux ciblés par evilDoggie.
« La communication entre les composants de la voiture, par exemple entre le moteur et les roues, se fait par câbles. Par conséquent, pour utiliser evilDoggie, il faut d'abord avoir accès à la voiture : l'objectif est de voir, une fois à bord, le niveau de sécurité de ce protocole et comment il pourrait être amélioré », explique Faraday.
Octavio Gianatiempo et Gastón Aznarez, chercheurs de Faraday Security, chez Black Hat. Photo : Juan Brodersen
Ce développement argentin offre une version open source (l'ensemble du processus de construction et de programmation est consultable) et un fonctionnement à bas niveau, c'est-à-dire une interaction directe avec le matériel ou les protocoles de communication du véhicule. Au lieu d'utiliser des programmes ou des interfaces préconçus, evilDoggie permet d'accéder à des couches plus proches des puces embarquées dans les voitures modernes, comme ce protocole CAN.
« La cybersécurité ne se limite pas aux ordinateurs et aux serveurs, mais aussi à la technologie que nous utilisons au quotidien : les voitures ne font pas exception », explique l'entreprise.
Clarín a posé des questions sur les modèles de voitures qui ont été attaqués lors des tests, mais Faraday a refusé de fournir des détails.
L'exposition à l'Arsenal a suscité l'intérêt de plus d'un visiteur qui souhaitait acquérir l'outil.
Diego Staino et Federico Pacheco, de BASE4, lors de la présentation de BUDA. Photo : Juan Brodersen
Également à l'Arsenal, Federico Pacheco et Diego Staino, chercheurs de l'entreprise argentine BASE4, ont présenté un outil dans le domaine de ce qu'on appelle la « Cyber-tromperie », qui sont des pièges virtuels que les analystes laissent sur les réseaux pour tromper les pirates qui veulent entrer dans un système et en extraire des informations.
Les stratégies de tromperie sont courantes dans l'analyse des menaces. C'est un domaine assez bien exploré en sécurité offensive. Lors de l'édition 2024 d'Ekoparty, la chercheuse locale Sheila Berta a démontré comment un type spécifique de système appelé « pot de miel » était utilisé sur les systèmes publics.
« Le problème avec les pièges traditionnels de type « pot de miel » est que des attaquants plus sophistiqués peuvent parfois les détecter parce qu'ils semblent trop propres ou vides , ou parce qu'ils manquent d'activité. BUDA est un outil qui rend ces pièges beaucoup plus crédibles », a déclaré Pacheco à ce média. BUDA signifie « Behavioral User-driven Deceptive Activities Framework ».
« Pour ce faire, il génère des profils d'utilisateurs fictifs basés sur le comportement normal du réseau et des systèmes. Ces profils effectuent ensuite des tâches qu'un employé normal effectuerait, comme se connecter à un système , ouvrir des documents, envoyer des e-mails ou naviguer sur le web », poursuit le spécialiste.
Lors de la conférence d’Arsenal, les chercheurs ont souligné l’importance de créer un « récit » cohérent pour les tromperies afin que les attaquants ne réalisent pas qu’ils ont affaire à un pot de miel .
« L'outil permet d'orchestrer les profils de manière à ce qu'ils agissent de manière autonome, en suivant des schémas comportementaux typiques. En simulant ces comportements, le piège devient beaucoup plus réaliste et les attaquants ont davantage de raisons de croire qu'ils ont affaire à un système avec des utilisateurs légitimes, ce qui représente une perte de temps supplémentaire et complique la distinction entre le vrai et le faux », a ajouté Diego Staino.
« De plus, comme les utilisateurs fictifs peuvent agir sur des systèmes et des actifs réels ou faux, l'outil permet de simuler un comportement qui ressemble à celui d'un attaquant ou d'un acteur malveillant, permettant ainsi de tester les mesures défensives du réseau et du système », conclut le spécialiste.
Le travail a été présenté cette semaine dans un livre blanc, avant examen académique, lors de la Conférence argentine sur l'informatique dans la recherche opérationnelle.
Sebastián García et Verónica Valeros, chercheurs argentins en cybersécurité à l'Université technique tchèque de Prague (CTU)
Un autre aspect important de Black Hat est la formation, qui débute plusieurs jours avant les conférences. Elle n'est pas ouverte au grand public, mais propose des cours intensifs destinés à divers spécialistes et professionnels du secteur.
L'un d'eux a été enseigné par Sebastián García et Verónica Valeros, chercheurs argentins de l'Université technique tchèque de Prague (CTU), « un programme de formation avancée pour apprendre à détecter le trafic de malware (virus) et à le différencier du trafic légitime dans des situations critiques », ont-ils expliqué.
« Ce furent deux journées très pratiques et intenses, avec des attaques réelles. De nombreux exercices portaient sur la découverte des malwares cachés, des botnets, des logiciels espions, la gestion de grands volumes de données et l'utilisation de l'intelligence artificielle pour améliorer la détection des menaces », ont-ils ajouté.
Nicole Perlroth à Black Hat USA 2025. Photo : Black Hat
Black Hat est l'une des conférences sur la cybersécurité les plus influentes au monde. Elle a été fondée en 1997 par Jeff Moss, connu dans le monde du hacking sous le nom de « The Dark Tangent ». Si la conférence principale se tient aux États-Unis, elle compte également des éditions en Asie et en Europe.
Lors de l'ouverture de l'édition 2025, Moss a prononcé un discours politique, et Mikko Hypponen, un hacker finlandais de renom , a annoncé sa retraite du secteur du piratage informatique. Le deuxième jour, Nicole Perlroth, ancienne journaliste du New York Times, a appelé à une réflexion sur les défis posés par l'intelligence artificielle dans le paysage des menaces.
« Nous sortons d'une lune de miel avec l'IA. Nous atteignons des niveaux d'efficacité incroyables. Et je pense que sur la question de savoir si l'IA privilégiera la défense ou l'attaque, les premières indications suggèrent que l'attaque aura l'avantage. Mais nous pouvons encore changer cela. Notre marge de manœuvre est étroite, mais elle se réduit très rapidement, et une fois que l'IA sera intégrée à notre infrastructure, à nos prises de décision et à notre défense, le coût des échecs ne fera que se multiplier . La sécurité dès la conception n'a jamais été aussi urgente », a déclaré Perlroth.
La convention rassemble des experts du monde entier pour discuter des vulnérabilités, des menaces mondiales, des techniques de défense et des avancées majeures en cybersécurité. Contrairement à DEF CON, fondée en 1993 et à l'esprit plus informel, Black Hat s'adresse au monde de l'entreprise.
La conférence sert de vitrine au monde de la cybersécurité, mais aussi de laboratoire pour le paysage actuel des menaces.
Clarin
